Katalog CVE

CVE-2026-53830

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

OpenClaw przed wersją 2026.4.22 zawiera lukę umożliwiającą obejście unieważnienia sekretu webhooka, co pozwala na aktywność starych sekretów webhooka Slack i Zalo po wywołaniu secrets.reload. Atakujący mogą wykorzystać ten czas, aby dostarczać zdarzenia webhooka po oczekiwanym unieważnieniu sekretu przez operatora.

Ocena ryzyka

Luka ta może prowadzić do nieautoryzowanego dostępu do systemu, umożliwiając atakującym wykorzystanie przestarzałych poświadczeń do wysyłania zdarzeń webhooka.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.4.22 lub nowszej, aby usunąć tę lukę oraz regularne przeglądanie i aktualizowanie sekretów webhooków.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.4.22 contains a webhook secret revocation bypass vulnerability allowing callers with old Slack and Zalo webhook secrets to remain active after secrets.reload. Attackers can exploit the stale-secret window to deliver webhook events after operator-expected secret revocation, potentially accepting previous credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS