Katalog CVE

CVE-2026-53861

ŚrednieCVSS 6.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

OpenClaw w wersji przed 2026.5.6 zawiera lukę umożliwiającą obejście listy dozwolonych elementów w funkcji exec Swift dla macOS, która nie uwzględnia połączonych flag poleceń POSIX. Atakujący mogą wykonać zawartość powłoki poza zamierzonym sprawdzeniem listy dozwolonych elementów, co może prowadzić do nieautoryzowanego wykonania poleceń w zależności od konfiguracji operatora.

Ocena ryzyka

Luka ta stwarza ryzyko nieautoryzowanego wykonania poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa w systemach korzystających z OpenClaw. Organizacje powinny być świadome potencjalnych zagrożeń związanych z niewłaściwą konfiguracją operatorów.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.5.6 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeprowadzić audyt konfiguracji operatorów w celu zminimalizowania ryzyka nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.5.6 contains an allowlist bypass vulnerability in the macOS Swift exec feature that misses combined POSIX inline-command flags. Attackers can execute shell content outside the intended allowlist check by using combined flag forms, potentially allowing unauthorized command execution depending on operator configuration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS