Katalog CVE

CVE-2026-22172

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje OpenClaw przed 2026.3.12 zawierają podatność na obejście autoryzacji w ścieżce połączenia WebSocket, która pozwala na samodzielne deklarowanie podwyższonych zakresów przez połączenia z użyciem tokenów współdzielonych lub uwierzytelnionych hasłem, bez powiązania po stronie serwera. Atakujący mogą wykorzystać tę lukę do przedstawienia nieautoryzowanych zakresów, takich jak operator.admin, i wykonywania operacji dostępnych tylko dla administratorów bramy.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do funkcji administracyjnych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty kontroli nad systemem. Potencjalne działania atakujących mogą obejmować m.in. modyfikację danych lub konfiguracji systemu.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.3.12 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa, aby zidentyfikować i zabezpieczyć inne potencjalne luki w systemie.

Oryginalny opis (angielski, źródło NVD)

OpenClaw versions prior to 2026.3.12 contain an authorization bypass vulnerability in the WebSocket connect path that allows shared-token or password-authenticated connections to self-declare elevated scopes without server-side binding. Attackers can exploit this logic flaw to present unauthorized scopes such as operator.admin and perform admin-only gateway operations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS