Katalog CVE

CVE-2026-53827

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

OpenClaw w wersjach przed 2026.5.2 zawiera podatność na ujawnienie poświadczeń w przekazywaniu message.action, co pozwala na przesyłanie ładunków akcji z poświadczeniami bramy do dostarczonych przez atakującego adresów URL pętli zwrotnej. Atakujący zdalnie mogą przechwytywać tokeny bramy i ładunki akcji, dostarczając złośliwe cele pętli zwrotnej przez metadane akcji kontrolowane przez model.

Ocena ryzyka

Organizacje mogą być narażone na przechwytywanie wrażliwych danych, takich jak tokeny bramy, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. Ujawnienie poświadczeń może skutkować poważnymi konsekwencjami dla bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy monitorować i ograniczać dostęp do metadanych akcji w celu zminimalizowania ryzyka.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.2 contains a credential exposure vulnerability in message.action forwarding that allows model-controlled metadata to forward action payloads with Gateway credentials to attacker-supplied loopback URLs. Remote attackers can intercept Gateway tokens and action payloads by providing malicious loopback targets through model-controlled action metadata.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS