CVE-2026-53849
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
OpenClaw w wersjach przed 2026.5.7 zawiera podatność na eskalację uprawnień, w której funkcja allowFrom niewłaściwie weryfikuje tożsamość konta Discord, używając zmiennych nazw wyświetlanych zamiast niezmiennych identyfikatorów użytkowników. Atakujący mogą zmienić swoją nazwę wyświetlaną, aby dopasować ją do wpisu w polityce i uzyskać nieautoryzowany dostęp do agenta przeznaczonego dla innej tożsamości Discord.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do zasobów, co może prowadzić do wycieku danych lub nadużyć. Eskalacja uprawnień przez atakujących może zagrażać integralności systemu.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.7 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy weryfikacji tożsamości użytkowników.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.7 contains a privilege escalation vulnerability where the allowFrom feature improperly validates Discord account identity using mutable display names instead of immutable user IDs. Attackers with Discord accounts can change their display name to match a policy entry and gain unauthorized agent access intended for another Discord identity.

