Kerentanan  ·  2026-07-18

OpenClaw Hooks allowedAgentIds Bypass via Blank Agent ID (CVE-2026-62219)

KerentananMedium dampakGlobalCVE-2026-62219
OpenClaw 2026.2.12 sebelum 2026.5.26 mengandung authorization bypass vulnerability dalam hooks allowedAgentIds validation. Lower-trust caller atau configured input path dapat bypass agent ID restrictions dengan menyerahkan blank agent IDs, memungkinkan actions yang seharusnya memerlukan stronger authorization atau policy checks. NVD mempublikasikan 2026-07-16/17, CVSS 7.1 (High, CVSS v3.1).
Agent-ID-based access restriction adalah foundational control dalam multi-agent OpenClaw deployments untuk mensegregasi agent mana yang dapat trigger hooks/actions mana; trivial blank-value bypass merusak isolation tersebut dan dapat memungkinkan unauthorized atau lower-trust agent untuk trigger hook-gated actions yang dimaksudkan hanya untuk specific authorized agent identities.
Menyerahkan blank/empty agentId value ke hooks validation logic untuk bypass allowedAgentIds restriction checks
OpenClaw 2026.2.12 sebelum 2026.5.26
Upgrade ke OpenClaw 2026.5.26 atau lebih baru; lihat GitHub security advisory GHSA-724r-v4wf-mqc5
GitHub Security Advisory GHSA-724r-v4wf-mqc5NVD CVE-2026-62219
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →