Katalog CVE

CVE-2026-53825

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

OpenClaw przed wersją 2026.4.7 zawiera podatność na odczyt dowolnych plików w funkcji wczytywania pamięci wiki, która pozwala uwierzytelnionym operatorom bramy z zakresem operator.write na odczyt lokalnych plików poza zamierzonymi źródłami wczytywania. Atakujący z dostępem operator.write mogą określać dowolne lokalne ścieżki plików do importu treści plików do pamięci wiki, omijając ograniczenia dostępu.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych danych, co może prowadzić do wycieku informacji lub naruszenia prywatności. Potencjalne wykorzystanie tej podatności może skutkować poważnymi konsekwencjami prawnymi i reputacyjnymi.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.4.7 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do funkcji wczytywania pamięci wiki tylko do zaufanych operatorów.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.4.7 contains an arbitrary file read vulnerability in the memory-wiki ingest feature that allows authenticated Gateway operators with operator.write scope to read local files outside intended ingest sources. Attackers with operator.write access can specify arbitrary local file paths to import file content into wiki memory, bypassing access restrictions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS