Plattform
nodejs
Komponente
openclaw
Behoben in
2026.3.11
2026.3.11
CVE-2026-32918 describes a session visibility bypass vulnerability within the openclaw component. This flaw allows a sandboxed subagent to circumvent intended session boundaries, potentially accessing and modifying data outside of its designated sandbox. This issue affects openclaw versions up to and including 2026.3.8. The vulnerability is resolved in openclaw version 2026.3.11 and later releases.
CVE-2026-32918 in OpenClaw betrifft das interne Tool session_status, das die Sichtbarkeitsgrenzen der Sitzung nicht korrekt durchsetzte. Ein in einer Sandbox befindlicher Subagent konnte den sessionKey einer anderen Sitzung bereitstellen und so den Zustand außerhalb seines eigenen Sandbox-Bereichs einsehen oder ändern. Dies stellt ein erhebliches Sicherheitsrisiko dar, da ein bösartiger Subagent auf sensible Informationen zugreifen oder sogar das Verhalten anderer Sitzungen verändern könnte.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein in einer Sandbox befindlicher Subagent in der Lage ist, den sessionKey einer anderen Sitzung zu erhalten. Dies könnte der Fall sein, wenn die Sandbox-Konfiguration fehlerhaft ist oder wenn andere Schwachstellen existieren, die es einem Subagenten ermöglichen, aus seiner isolierten Umgebung auszubrechen. Sobald der Angreifer den sessionKey hat, kann er ihn verwenden, um Daten in der Zielsitzung zu lesen oder zu ändern, einschließlich persistenter Modelle.
Applications and services relying on openclaw for sandboxing and session management are at risk. This includes systems where subagents are used to extend the functionality of the main application, particularly those handling sensitive user data or financial transactions. Organizations using legacy openclaw configurations or those with limited resources for timely patching are particularly vulnerable.
• nodejs:
npm list openclawThis command will list installed openclaw versions. Check if the version is <= 2026.3.8. • nodejs:
find / -name "openclaw*" -type d -printThis command searches for openclaw related directories, which may indicate installation locations. • generic web: Review openclaw logs for unusual session activity or attempts to access data outside the expected scope. Look for patterns indicative of a sandboxed subagent attempting to access other session keys.
disclosure
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Um dieses Risiko zu mindern, wird empfohlen, OpenClaw auf Version 2026.3.11 oder höher zu aktualisieren. Diese Version enthält eine Korrektur, die die Durchsetzung der Sichtbarkeitsgrenzen der Sitzung verstärkt und so unbefugten Zugriff auf Daten anderer Sitzungen verhindert. Überprüfen Sie außerdem die Konfiguration von Subagenten in der Sandbox, um sicherzustellen, dass diese nur auf die für ihren Betrieb erforderlichen Ressourcen zugreifen und so die Angriffsfläche minimieren. Das Update ist die effektivste Lösung und wird dringend empfohlen.
Actualice OpenClaw a la versión 2026.3.11 o posterior. Esta versión corrige la vulnerabilidad de escape de sandbox de sesión en la herramienta session_status, impidiendo que los subagentes en sandbox accedan al estado de la sesión principal o de las sesiones hermanas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OpenClaw ist ein Framework für die Ausführung von KI-Agenten in Sandbox-Umgebungen.
Eine Sandbox ist eine isolierte Umgebung, die den Zugriff eines Agenten auf Systemressourcen einschränkt und verhindert, dass er Schaden anrichtet oder auf vertrauliche Informationen zugreift.
Sie können Ihre OpenClaw-Version überprüfen, indem Sie den Befehl openclaw --version in der Befehlszeile ausführen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den Zugriff von Subagenten in der Sandbox auf Systemressourcen einschränken und die Sitzungsaktivität auf verdächtiges Verhalten überwachen.
Sie finden weitere Informationen zu dieser Schwachstelle in der offiziellen OpenClaw-Dokumentation und in Schwachstellen-Datenbanken wie der National Vulnerability Database (NVD).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.