Katalog CVE

CVE-2026-53840

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

OpenClaw w wersjach przed 2026.5.12 zawiera podatność na ujawnienie informacji w serwerach MCP obsługujących streamable-http, które przekazują niestandardowe nagłówki skonfigurowane przez operatora podczas przekierowań między źródłami. Atakujący mogą wykorzystać tę podatność do wykradania wrażliwych nagłówków, takich jak klucze API czy dane uwierzytelniające do routingu najemców.

Ocena ryzyka

Organizacje mogą być narażone na kradzież wrażliwych informacji, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. Ujawnienie takich informacji może skutkować poważnymi konsekwencjami finansowymi i reputacyjnymi.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.12 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji serwerów MCP w celu zminimalizowania ryzyka ujawnienia wrażliwych nagłówków.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.12 contains an information disclosure vulnerability in streamable-http MCP servers that forwards operator-configured custom headers during cross-origin redirects. Attackers controlling or compromising an MCP endpoint can redirect requests to exfiltrate sensitive headers like API keys or tenant-routing credentials to attacker-controlled origins.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS