Apa yang terjadi
CVE-2026-53857 (CVSS 8.1 HIGH) dipublikasikan 2026-06-16. OpenClaw sebelum 2026.5.3 mengandung kerentanan penegakan kebijakan di mana kontak Zalo dengan metadata tampilan yang dapat diubah dapat cocok dengan entri kebijakan allowFrom melalui perubahan nama tampilan, memungkinkan penyerang menerima respons agen yang dimaksudkan untuk identitas Zalo lain.
Mengapa penting
Kelas yang sama dari bypass kebijakan identitas yang dapat diubah seperti CVE-2026-53849 tetapi memengaruhi integrasi perpesanan Zalo. Memungkinkan injeksi prompt yang tidak sah dan eksfiltrasi data dari pipeline agen tanpa eksploitasi teknis apa pun selain perubahan nama tampilan.
Vektor serangan
Kebijakan allowFrom OpenClaw untuk kontak Zalo cocok dengan metadata tampilan yang dapat diubah daripada identitas pengirim yang stabil. Seorang penyerang mengubah nama tampilan Zalo mereka agar cocok dengan entri kebijakan, menyebabkan OpenClaw merutekan respons agen yang dimaksudkan untuk identitas berbeda kepada penyerang.
Sistem yang terdampak
OpenClaw < 2026.5.3
Mitigasi
Tingkatkan OpenClaw ke versi 2026.5.3 atau lebih baru. Pemberitahuan: https://github.com/openclaw/openclaw/security/advisories/GHSA-8c59-hr4w-qg69