Krytyczna luka w openclaw umożliwiająca zdalne wykonanie poleceń

Openclaw przed 2026.3.13 ma krytyczną lukę pozwalającą na zdalne wykonanie poleceń przez nieprawidłową obsługę załączników iMessage. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-32917CVSS 9.2General

Krytyczna luka w openclaw umożliwiająca zdalne wykonanie poleceń

Openclaw przed 2026.3.13 ma krytyczną lukę pozwalającą na zdalne wykonanie poleceń przez nieprawidłową obsługę załączników iMessage. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.2 CRITICAL
EPSS
78.04%
Aktywnie wykorzystywana
brak w KEV
Produkt
openclaw

Co wiadomo

Wersje openclaw sprzed 2026.3.13 zawierają lukę pozwalającą na zdalne wykonanie poleceń poprzez nieprawidłową obsługę ścieżek załączników iMessage. Atakujący mogą wykorzystać tę podatność do uruchomienia dowolnych poleceń na zdalnych hostach, jeśli funkcja zdalnego przygotowywania załączników jest włączona.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.2) może prowadzić do przejęcia kontroli nad zdalnymi systemami, co stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury IT. Operatorzy powinni traktować tę podatność priorytetowo, ponieważ umożliwia ona atakującemu wykonanie dowolnych poleceń na skonfigurowanych hostach zdalnych, potencjalnie prowadząc do eskalacji uprawnień i utraty danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji od producenta openclaw i wdrożenie najnowszej wersji zabezpieczającej przed tą podatnością. W przypadku braku łatki należy ograniczyć lub wyłączyć funkcję zdalnego przygotowywania załączników oraz monitorować logi systemowe pod kątem podejrzanej aktywności. Warto również przeprowadzić przegląd konfiguracji i ograniczyć dostęp do zaufanych hostów.

Źródła