Kritische Autorisierungs-Umgehung in OpenClaw WebSocket-Verbindungen - CVE-2026-22172
⚠️ CVE-Referenzen:
CVE-2026-22172
Zusammenfassung
Sicherheitsforscher haben eine kritische Schwachstelle in OpenClaw-Versionen vor 2026.3.12 entdeckt. Angreifer können die Autorisierung in WebSocket-Verbindungen umgehen und so ohne Berechtigung auf sensible Funktionen wie den "operator.admin"-Scope zugreifen. Das ermöglicht es ihnen, das System zu manipulieren und an vertrauliche Daten zu gelangen. Die Entwickler haben mittlerweile ein Sicherheitsupdate veröffentlicht, um das Problem zu beheben.
Openclaw - Openclaw - CRITICAL - CVE-2026-22172.
OpenClaw versions prior to 2026.3.12 are susceptible to an authorization bypass vulnerability within the WebSocket connection process. This flaw allows attackers to exploit shared-token or password-authenticated connections, enabling them to declare elevated scopes without the necessary server-side validation. As a result, unauthorized users can gain access to sensitive operations that are typically reserved for admin users, such as the 'operator.admin' scope. This logic flaw poses significant security risks, potentially allowing malicious actors to manipulate system operations and access sensitive data.
Quelle: securityvulnerability.io