Apa yang terjadi
CVE-2026-53857 (CVSS 8.1 HIGH) dipublikasikan 2026-06-16. OpenClaw sebelum 2026.5.3 mengandung kerentanan penegakan kebijakan di mana kontak Zalo dengan metadata tampilan yang dapat diubah dapat cocok dengan entri kebijakan allowFrom melalui perubahan nama tampilan, memungkinkan penyerang menerima respons agen yang ditujukan untuk identitas Zalo lain.
Mengapa penting
Kelas yang sama dari bypass kebijakan identitas-dapat-diubah seperti CVE-2026-53849 tetapi mempengaruhi integrasi pesan Zalo. Memungkinkan injeksi prompt yang tidak sah dan exfiltrasi data dari pipeline agen tanpa exploit teknis apa pun selain perubahan nama tampilan.
Vektor serangan
Kebijakan allowFrom OpenClaw untuk kontak Zalo cocok dengan metadata tampilan yang dapat diubah daripada identitas pengirim yang stabil. Penyerang mengubah nama tampilan Zalo mereka untuk cocok dengan entri kebijakan, menyebabkan OpenClaw merutekan respons agen yang ditujukan untuk identitas berbeda kepada penyerang.
Sistem yang terdampak
OpenClaw < 2026.5.3
Mitigasi
Upgrade OpenClaw ke versi 2026.5.3 atau lebih baru. Pemberitahuan: https://github.com/openclaw/openclaw/security/advisories/GHSA-8c59-hr4w-qg69