Plattform
nodejs
Komponente
openclaw
Behoben in
2026.3.11
CVE-2026-32922 represents a critical privilege escalation vulnerability discovered in OpenClaw. This flaw allows attackers with limited operator.pairing scope to escalate privileges by minting tokens with broader, unauthorized scopes. The vulnerability affects versions 0 through 2026.3.11 of OpenClaw and is resolved in version 2026.3.11.
CVE-2026-32922 betrifft OpenClaw-Versionen vor 2026.3.11 und weist eine Privilegienerweiterungsvulnerabilität in der Komponente device.token.rotate auf. Dieser Fehler ermöglicht es Angreifern mit dem operator.pairing-Bereich, Token mit breiteren Berechtigungen zu erstellen, als erlaubt ist, da neu erstellte Berechtigungen nicht auf den aktuellen Bereich des Aufrufers beschränkt werden. Dies könnte zur Erlangung von operator.admin-Token für gekoppelte Geräte führen, was die Ausführung von Remote-Code auf verbundenen Knoten über system.run oder unautorisierten gateway-admin-Zugriff ermöglichen könnte. Die Schwere dieser Schwachstelle wird als hoch eingestuft (CVSS 9.9), was ein erhebliches Risiko für betroffene Systeme bedeutet.
Ein Angreifer mit begrenztem Zugriff, aber mit dem operator.pairing-Bereich, kann diese Schwachstelle ausnutzen, um Token mit erhöhten Berechtigungen zu erhalten. Dies könnte durch Manipulation der Token-Rotationslogik erreicht werden, wodurch die Erstellung von operator.admin-Token ermöglicht wird. Sobald der Angreifer ein operator.admin-Token hat, kann er beliebige Befehle auf verbundenen Knoten ausführen oder die Gateway-Konfiguration mit Administratorrechten ändern, wodurch die Systemsicherheit gefährdet wird. Das Fehlen einer ordnungsgemäßen Bereichsvalidierung während der Token-Erstellung ist die Ursache dieser Schwachstelle.
Organizations utilizing OpenClaw for managing distributed systems, particularly those relying on token-based authentication and authorization, are at risk. Environments with legacy configurations or those that have not implemented robust token scope validation are especially vulnerable. Any deployment of OpenClaw versions 0 through 2026.3.11 should be considered at immediate risk.
disclosure
Exploit-Status
EPSS
0.24% (47% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-32922 ist die Aktualisierung von OpenClaw auf Version 2026.3.11 oder höher. Dieses Update behebt den Fehler in device.token.rotate, der die Privilegienerweiterung ermöglicht. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko einer Ausnutzung zu mindern. In der Zwischenzeit sollten Sie bestehende Token-Berechtigungen sorgfältig überprüfen und audieren und den Zugriff auf sensible Funktionen wie system.run einschränken. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice OpenClaw a la versión 2026.3.11 o posterior. Esta versión corrige la vulnerabilidad de escalada de privilegios en la función device.token.rotate.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Dies sind Berechtigungsbereiche innerhalb von OpenClaw. 'operator.pairing' ermöglicht Aktionen im Zusammenhang mit der Kopplung von Geräten, während 'operator.admin' die vollständige administrative Kontrolle über das System gewährt.
Überprüfen Sie die OpenClaw-Version, die Sie verwenden. Wenn sie vor 2026.3.11 liegt, sind Sie betroffen. Sie können die Version in der OpenClaw-Dokumentation oder über die Verwaltungs-Schnittstelle überprüfen.
Isolieren Sie das betroffene System sofort vom Netzwerk. Führen Sie eine umfassende Sicherheitsüberprüfung durch und ziehen Sie in Betracht, von einer sauberen Sicherungskopie wiederherzustellen.
Derzeit gibt es keine spezifischen Tools, um diese Schwachstelle zu erkennen. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten, wie z. B. die Ausführung unerwarteter Befehle, kann jedoch dazu beitragen, potenzielle Angriffe zu identifizieren.
Sie finden weitere Informationen in der OpenClaw-Dokumentation und in Schwachstellendatenbanken wie der National Vulnerability Database (NVD).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.