CVE-2026-56694
ŚrednieCVSS 5.4Streszczenie
NanoClaw przed wersją 2.1.0 zawiera podatność na eskalację uprawnień w procesie zatwierdzania rejestracji kanałów, gdzie funkcja handleChannelApprovalResponse nie weryfikuje uprawnień administratora dla docelowych grup agentów.
Ocena ryzyka
Scoped admini mogą przesyłać sfałszowane lub nieaktualne wartości zwrotne, co prowadzi do narażenia nieautoryzowanych grup na niezatwierdzone kanały oraz umożliwia nieautoryzowaną obserwację lub kontrolę aktywności ograniczonych grup agentów.
Rekomendacja
Zaleca się aktualizację NanoClaw do wersji 2.1.0 lub nowszej oraz wdrożenie dodatkowych mechanizmów weryfikacji uprawnień w procesie zatwierdzania rejestracji kanałów.
Oryginalny opis (angielski, źródło NVD)
NanoClaw before 2.1.0 contains a privilege escalation vulnerability in the channel-registration approval flow where handleChannelApprovalResponse fails to validate admin privileges over target agent groups. Scoped admins can submit forged or stale connect callback values to wire messaging channels into out-of-scope agent groups, exposing unauthorized groups to unapproved channels and enabling unauthorized observation or control of restricted agent group activity.

