CVE-2026-53863
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.4.25 zawiera podatność na niewłaściwą walidację danych wejściowych w wywołaniach polityki grupy narzędzi, które akceptują niezweryfikowane identyfikatory grup. Atakujący mogą dostarczyć identyfikator grupy do resolvera polityki, co może prowadzić do błędnych decyzji dotyczących polityki grupy dla wywołań narzędzi.
Ocena ryzyka
Podatność ta może umożliwić atakującym obejście zamierzonych kontroli dostępu, co stwarza ryzyko nieautoryzowanego dostępu do zasobów.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.4.25 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji identyfikatorów grup.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.4.25 contains an input validation vulnerability in tool group policy callers that accept unvalidated group IDs. Attackers who can supply a group ID to the policy resolver could trigger incorrect group-policy decisions for tool invocations, potentially bypassing intended access controls.

