Katalog CVE

CVE-2026-53860

ŚrednieCVSS 4.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

OpenClaw przed wersją 2026.5.7 zawiera lukę w polityce nadawcy w BlueBubbles, która pozwala uczestnikom na dopasowanie wpisów z listy dozwolonych nadawców za pomocą metadanych rozmowy zamiast stabilnej tożsamości nadawcy.

Ocena ryzyka

Atakujący mogą manipulować identyfikatorami na poziomie rozmowy, co pozwala im na otrzymywanie odpowiedzi agentów przeznaczonych dla skonfigurowanych nadawców, co może prowadzić do obejścia kontroli dostępu.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.7 lub nowszej, aby usunąć tę lukę oraz przegląd polityki dostępu do systemu.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.7 contains a sender policy bypass vulnerability in BlueBubbles that allows participants to match allowlist entries through conversation metadata rather than stable sender identity. Attackers can influence conversation-level identifiers to receive agent responses intended for configured senders, potentially bypassing access controls.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS