Bypass Kebijakan Pengirim OpenClaw BlueBubbles melalui Metadata Percakapan (CVE-2026-53860)

CVE-2026-53860 (CVSS 4.2 MEDIUM) dipublikasikan 2026-06-16. OpenClaw sebelum 2026.5.7 mengandung bypass kebijakan pengirim dalam integrasi BlueBubbles-nya di mana peserta dapat mencocokkan entri allowlist melalui manipulasi metadata percakapan daripada verifikasi identitas pengirim yang stabil.

Melanjutkan pola bypass kebijakan identitas-mutable di seluruh integrasi messaging OpenClaw. Radius ledakan sempit (BlueBubbles adalah jembatan Apple Messages yang niche) dan CVSS lebih rendah, tetapi kerusakan desain mendasar yang sama dengan varian Discord dan Zalo.

Penyerang mempengaruhi pengenal tingkat percakapan di BlueBubbles untuk mencocokkan entri allowlist, menyebabkan OpenClaw merutekan respons agent ke penerima yang tidak dimaksudkan.

OpenClaw < 2026.5.7 (integrasi BlueBubbles)

Tingkatkan OpenClaw ke versi 2026.5.7 atau lebih baru. Pemberitahuan: https://github.com/openclaw/openclaw/security/advisories/GHSA-8j37-5w68-wj2g