CVE-2026-53837
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.6 zawiera lukę w kontroli dostępu w obsłudze zdarzeń Mattermost, która nie weryfikuje metadanych typu kanału. Atakujący mogą obejść zamierzone decyzje polityki DM, wysyłając spreparowane zdarzenia Mattermost, które nie zawierają informacji o typie kanału, co pozwala na przetwarzanie ograniczonej treści.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.6 lub nowszej, aby usunąć tę lukę oraz wdrożenie dodatkowych mechanizmów weryfikacji zdarzeń Mattermost.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.6 contains an improper access control vulnerability in Mattermost event handlers that fails to validate channel type metadata. Attackers can bypass intended DM policy decisions by sending crafted Mattermost events missing channel type information to process restricted content.

