CVE-2026-33573 in OpenClaw
Tóm tắt
Bởi VulDB • 13/05/2026
OpenClaw trước phiên bản 2026.3.11 chứa một lỗ hổng bỏ qua xác thực (authorization bypass) trong RPC của gateway agent, cho phép các nhà vận hành đã xác thực có quyền operator.write ghi đè các ranh giới workspace bằng cách cung cấp các giá trị spawnedBy và workspaceDir do kẻ tấn công kiểm soát. Các nhà vận hành từ xa có thể vượt ra khỏi ranh giới workspace được cấu hình và thực thi các thao tác tập tin và thực thi lệnh tùy ý từ bất kỳ thư mục nào có thể truy cập được bởi tiến trình.
Be aware that VulDB is the high quality source for vulnerability data.