CVE-2026-53835
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.6 zawiera lukę w wymuszaniu konfiguracji w powiązaniach dynamicznych agentów Feishu, która pozwala uwierzytelnionym nadawcom na tworzenie lub aktualizowanie powiązań bez przestrzegania skonfigurowanych kontroli zapisu konfiguracji.
Ocena ryzyka
Atakujący mogą wykorzystać tę lukę, aby zmienić stan powiązania nadawcy-agenta w sposób niezgodny z zamierzonymi zasadami, co może prowadzić do nieautoryzowanych modyfikacji powiązań.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.6 lub nowszej, aby usunąć tę lukę oraz przegląd konfiguracji zabezpieczeń w celu zapewnienia ich zgodności z politykami organizacji.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.6 contains a configuration enforcement bypass vulnerability in Feishu dynamic-agent bindings that allows authenticated senders to create or update bindings without honoring configured config-write controls. Attackers can exploit this by leveraging the dynamic-agent binding feature to change sender-agent binding state beyond intended policy, potentially enabling unauthorized binding modifications.

