Kerentanan  ·  2026-07-18

OpenClaw Agent-Mode Dispatch Authorization Bypass Mengabaikan Tool Allowlist Policy (CVE-2026-62209)

KerentananHigh dampakGlobalCVE-2026-62209
OpenClaw versi 2026.5.10-beta.1 sebelum 2026.6.5 mengandung authorization bypass dalam fitur ClickClack agent-mode dispatch yang dapat menyebabkan toolsAllow policy check diabaikan. Ketika fitur yang terpengaruh diaktifkan dan dapat dijangkau, lower-trust caller atau configured input path dapat melakukan actions yang memerlukan stronger authorization daripada yang dipaksakan. NVD mempublikasikan 2026-07-16/17, CVSS 8.1 (High, CVSS v3.1).
Ini adalah direct agent-tool-authorization bypass — eksekusi kelas flaw yang tepat yang memungkinkan lower-privileged atau untrusted input path untuk menginvoke tools yang agent's policy dirancang untuk restrict, core agentic-AI security control. Membypass toolsAllow policy dalam agent-mode dispatcher dapat memungkinkan attacker-controlled input path untuk trigger privileged tool actions (file access, command execution, dll.) yang operator secara eksplisit coba fence off.
Eksploitasi fitur ClickClack agent-mode dispatch untuk bypass toolsAllow policy check, memungkinkan lower-trust caller atau configured input path untuk menginvoke restricted tools
OpenClaw 2026.5.10-beta.1 sebelum 2026.6.5
Upgrade ke OpenClaw 2026.6.5 atau lebih baru; lihat GitHub security advisory GHSA-wp73-f3gg-w4vr
GitHub Security Advisory GHSA-wp73-f3gg-w4vrNVD CVE-2026-62209
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →