Katalog CVE

CVE-2026-56402

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

NanoClaw w wersjach przed 2.1.17 zawiera podatność na eskalację uprawnień w funkcji handleApprovalsResponse, która nie weryfikuje autoryzacji roli respondenta. Atakujący z ważnym questionId mogą zatwierdzać lub odrzucać uprzywilejowane działania, takie jak instalacja pakietów, przesyłając ładunki odpowiedzi zatwierdzających bez odpowiedniej walidacji ról.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego wykonania uprzywilejowanych działań w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację NanoClaw do wersji 2.1.17 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji autoryzacji.

Oryginalny opis (angielski, źródło NVD)

NanoClaw before 2.1.17 contains a privilege escalation vulnerability in the handleApprovalsResponse function that fails to verify responder role authorization. Attackers with a valid questionId can approve or reject privileged actions like package installation by submitting approval response payloads without proper role validation.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS