← Back
Web Application
CVE-2026-53857 high CVSS 8.1

OpenClaw: Zalo allowFrom could bind to mutable display names

Summary

OpenClaw: Zalo allowFrom could bind to mutable display names

AI summary openai / gpt-4o

OpenClawのバージョン2026.5.3以前に、Zaloの連絡先に対するポリシーの適用に脆弱性があり、表示名を変更することで許可ポリシーエントリに一致させることが可能です。これにより攻撃者が異なるZalo IDに対するエージェントの応答を受け取る可能性があります。
❓ What is the problem
Zaloの連絡先で、表示名を変更することでポリシーエントリに一致させることが可能な脆弱性。
📍 Affected scope
OpenClawのバージョン2026.5.3以前。
🔥 Severity
攻撃者が意図されていないZalo IDへの応答を受け取る可能性がある。重要度は高い。
🔧 How to fix
バージョン2026.5.3以降にアップデートすること。
🛡️ Workaround
該当機能の利用を避けるか、ポリシー設定を見直す。
🔍 Detection
表示名の変更を監視し、不審な動きがないか確認する。

Affected packages

npm openclaw
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"2026.5.3"}]}]

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →