CVE-2026-53818
ŚrednieCVSS 6.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.4.24 zawiera lukę w autoryzacji w funkcji pętli zwrotnej MCP, która pozwala na ominięcie polityk narzędzi przeznaczonych tylko dla właścicieli. Atakujący mogą wywołać zachowanie zarezerwowane dla właścicieli za pomocą tej podatnej ścieżki pętli zwrotnej.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do narzędzi, które powinny być zastrzeżone dla właścicieli, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.4.24 lub nowszej, aby usunąć tę lukę oraz przegląd polityk dostępu do narzędzi.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.4.24 contains an authorization bypass vulnerability in the MCP loopback feature that allows non-owner callers to skip owner-only tool policies and before-tool-call hooks. Attackers can invoke owner-only behavior through the affected loopback path to execute restricted tools when the feature is enabled and reachable.

