CVE-2026-53830
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
OpenClaw przed wersją 2026.4.22 zawiera lukę umożliwiającą obejście unieważnienia sekretu webhooka, co pozwala na aktywność starych sekretów webhooka Slack i Zalo po wywołaniu secrets.reload. Atakujący mogą wykorzystać ten czas, aby dostarczać zdarzenia webhooka po oczekiwanym unieważnieniu sekretu przez operatora.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do systemu, umożliwiając atakującym wykorzystanie przestarzałych poświadczeń do wysyłania zdarzeń webhooka.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.4.22 lub nowszej, aby usunąć tę lukę oraz regularne przeglądanie i aktualizowanie sekretów webhooków.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.4.22 contains a webhook secret revocation bypass vulnerability allowing callers with old Slack and Zalo webhook secrets to remain active after secrets.reload. Attackers can exploit the stale-secret window to deliver webhook events after operator-expected secret revocation, potentially accepting previous credentials.

