Katalog CVE

CVE-2026-44109

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenClaw przed wersją 2026.4.15 zawiera lukę w autoryzacji w walidacji webhooków Feishu i akcji kart, która pozwala na nieautoryzowane żądania docierające do dyspozycji poleceń. Brak konfiguracji encryptKey oraz puste tokeny zwrotne powodują, że system nie odrzuca żądań, co umożliwia atakującym ominięcie weryfikacji podpisu i ochrony przed powtórnym użyciem w celu wykonania dowolnych poleceń.

Ocena ryzyka

Luka ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym wykonywanie dowolnych poleceń bez autoryzacji. Może to prowadzić do nieautoryzowanego dostępu do systemów i danych.

Rekomendacja

Zaleca się aktualizację OpenClaw do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, należy skonfigurować encryptKey oraz zapewnić, że tokeny zwrotne nie są puste.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.4.15 contains an authentication bypass vulnerability in Feishu webhook and card-action validation that allows unauthenticated requests to reach command dispatch. Missing encryptKey configuration and blank callback tokens fail open instead of rejecting requests, enabling attackers to bypass signature verification and replay protection to execute arbitrary commands.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS