CVE-2026-53857
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
OpenClaw w wersjach przed 2026.5.3 zawiera podatność w egzekwowaniu polityki, która pozwala na dopasowanie kontaktów Zalo z modyfikowalnymi metadanymi wyświetlania do wpisów polityki allowFrom poprzez zmiany nazw wyświetlania. Atakujący z modyfikowalnymi nazwami wyświetlania mogą otrzymywać odpowiedzi agenta przeznaczone dla różnych tożsamości Zalo, gdy funkcja jest włączona.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do informacji, co może prowadzić do wycieku danych lub oszustw związanych z tożsamością. W szczególności, atakujący mogą manipulować danymi, co zagraża integralności komunikacji.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.5.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć wprowadzenie dodatkowych środków bezpieczeństwa w celu monitorowania i ograniczenia modyfikacji nazw wyświetlania.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.5.3 contains a policy enforcement vulnerability where Zalo contacts with mutable display metadata could match allowFrom policy entries through display name changes. Attackers with mutable display names could receive agent responses intended for different Zalo identities when the feature is enabled.

