CVE-2026-53843
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.5.26 zawiera podatność na obejście autoryzacji, która pozwala na przywrócenie autorytetu tokena węzła po jego unieważnieniu. Atakujący z sparowanym urządzeniem mogą odzyskać dostęp na poziomie węzła WebSocket bez ponownej zgody.
Ocena ryzyka
Podatność ta osłabia mechanizmy unieważniania, co pozwala na dłuższy nieautoryzowany dostęp do systemu. Może to prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.26 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt istniejących sesji urządzeń sparowanych.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.26 contains an authorization bypass vulnerability where a surviving pairing-scoped device session can re-establish node token authority after revocation. Attackers with a paired device can regain WebSocket node-level access without renewed approval, weakening revocation controls and maintaining unauthorized access longer than intended.

