Katalog CVE

CVE-2026-56693

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

NanoClaw przed wersją 2.1.17 zawiera podatność na eskalację uprawnień w obsłudze akcji create_agent, która wykonuje zapisy do centralnej bazy danych bez sprawdzania autoryzacji po stronie hosta. Ograniczone kontenery agentów mogą wywołać create_agent, aby tworzyć dowolne grupy agentów, konfiguracje kontenerów i miejsca docelowe, przekraczając swoje zamierzone granice ograniczenia.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów systemowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Eskalacja uprawnień może umożliwić atakującym manipulację danymi lub przejęcie kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację NanoClaw do wersji 2.1.17 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji kontenerów w celu zapewnienia, że nie mają one nadmiernych uprawnień.

Oryginalny opis (angielski, źródło NVD)

NanoClaw before 2.1.17 contains a privilege escalation vulnerability in the create_agent delivery-action handler that performs privileged central-database writes without host-side authorization checks. Confined agent containers can invoke create_agent to create arbitrary agent groups, container configurations, and destinations, escalating beyond their intended confinement boundary.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS