CVE-2026-41349
🟡 Monitoruj
Obejście zgody w OpenClaw umożliwia zdalne wykonanie nieautoryzowanych operacji.
CVSS
8.8
EPSS
0.1%
Exploit
none
Vendor
openclaw
Opis źródłowy (NVD)
OpenClaw before 2026.3.28 contains an agentic consent bypass vulnerability allowing LLM agents to silently disable execution approval via config.patch parameter. Remote attackers can exploit this to bypass security controls and execute unauthorized operations without user consent.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-04-23 22:16:41 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-29 14:40:45 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/76411b2afc4ae721e36c12e0ea24fd23e2fed61e (disclosure@vulncheck.com) [Patch]
- https://github.com/openclaw/openclaw/security/advisories/GHSA-v3qc-wrwx-j3pw (disclosure@vulncheck.com) [Vendor Advisory, Patch]
- https://www.vulncheck.com/advisories/openclaw-agentic-consent-bypass-via-config-patch (disclosure@vulncheck.com) [Third Party Advisory]