Katalog CVE

CVE-2026-53849

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

OpenClaw w wersjach przed 2026.5.7 zawiera podatność na eskalację uprawnień, w której funkcja allowFrom niewłaściwie weryfikuje tożsamość konta Discord, używając zmiennych nazw wyświetlanych zamiast niezmiennych identyfikatorów użytkowników. Atakujący mogą zmienić swoją nazwę wyświetlaną, aby dopasować ją do wpisu w polityce i uzyskać nieautoryzowany dostęp do agenta przeznaczonego dla innej tożsamości Discord.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do zasobów, co może prowadzić do wycieku danych lub nadużyć. Eskalacja uprawnień przez atakujących może zagrażać integralności systemu.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.7 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy weryfikacji tożsamości użytkowników.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.7 contains a privilege escalation vulnerability where the allowFrom feature improperly validates Discord account identity using mutable display names instead of immutable user IDs. Attackers with Discord accounts can change their display name to match a policy entry and gain unauthorized agent access intended for another Discord identity.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS