← voltar
CVE-2026-56694

NanoClaw < 2.1.0 - Privilege Escalation via Forged Channel Approval Callback

CVSS 5.3 MEDIUMCWE-863
Em resumo

O NanoClaw antes da versão 2.1.0 permite que administradores com permissões limitadas enganem o sistema para conectar canais de mensagens a grupos que não deveriam ter acesso, potencialmente expondo atividades restritas ao monitoramento ou controle não autorizado.

Detalhe técnico

A vulnerabilidade existe no fluxo de aprovação de registro de canais, onde handleChannelApprovalResponse não valida adequadamente se um admin possui privilégios apropriados sobre os grupos de agentes alvo. Admins com escopo limitado podem enviar valores de callback falsificados ou desatualizados para estabelecer canais de mensagens em grupos de agentes fora de seu escopo, contornando controles de acesso e permitindo observação ou controle não autorizado de operações de grupos restritos.

Resumo gerado e traduzido por IA a partir da descrição oficial.
NanoClaw before 2.1.0 contains a privilege escalation vulnerability in the channel-registration approval flow where handleChannelApprovalResponse fails to validate admin privileges over target agent groups. Scoped admins can submit forged or stale connect callback values to wire messaging channels into out-of-scope agent groups, exposing unauthorized groups to unapproved channels and enabling unauthorized observation or control of restricted agent group activity.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Produtos afetados
nanocoai · nanoclaw

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/nanocoai/nanoclaw/commit/0eef8fafdd7c475ab5fd8d37ea566a81e74cd834https://github.com/nanocoai/nanoclaw/pull/2566https://www.vulncheck.com/advisories/nanoclaw-privilege-escalation-via-forged-channel-approval-callback