Plattform
nodejs
Komponente
openclaw
Behoben in
2026.3.12
CVE-2026-32975 describes a weak authorization vulnerability affecting OpenClaw. This flaw allows attackers to bypass channel authorization by creating groups with identical names to allowlisted groups, potentially routing messages from unintended sources. This impacts OpenClaw versions 0 through 2026.3.12. The vulnerability is fixed in version 2026.3.12.
CVE-2026-32975 betrifft OpenClaw-Versionen vor 2026.3.12. Diese schwache Autorisierungs-Schwachstelle im Zalouser-Allowlist-Modus ermöglicht es Angreifern, die Kanalautorisierung zu umgehen. Das Problem besteht darin, dass das System veränderliche Gruppennamen anstelle stabiler Gruppen-IDs abgleicht. Angreifer können Gruppen mit identischen Namen wie in der Allowlist aufgeführten Gruppen erstellen und so das System dazu veranlassen, Nachrichten von nicht beabsichtigten Gruppen an den Agenten weiterzuleiten. Die CVSS-Punktzahl für diese Schwachstelle beträgt 9,8, was ein kritisches Risiko anzeigt.
Ein Angreifer, der die Zalouser-Allowlist-Konfiguration kennt, kann diese Schwachstelle ausnutzen, indem er Gruppen mit Namen erstellt, die mit denen in der Allowlist übereinstimmen. Der Angreifer könnte dann Nachrichten von diesen gefälschten Gruppen senden, so dass sie von legitimen Quellen zu stammen scheinen. Dies könnte für Identitätsdiebstahl, die Verbreitung von Fehlinformationen oder sogar die unbefugte Steuerung von Systemen verwendet werden. Die Effektivität des Angriffs hängt von der Fähigkeit des Angreifers ab, Gruppen innerhalb der OpenClaw-Plattform zu erstellen und zu verwalten. Das Fehlen einer robusten Validierung der Gruppen-IDs ist die Ursache für diese Schwachstelle.
Organizations utilizing OpenClaw, particularly those relying on the 'Zalouser allowlist mode' for channel authorization, are at risk. This includes deployments handling sensitive data or controlling critical infrastructure, as the bypass could lead to unauthorized access and potential compromise.
disclosure
Exploit-Status
EPSS
0.08% (23% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, OpenClaw auf Version 2026.3.12 oder höher zu aktualisieren. Dieses Update behebt das Problem, indem sichergestellt wird, dass das System für die Autorisierung stabile Gruppen-IDs anstelle von Gruppennamen verwendet. Es wird dringend empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko einer unbefugten Zugriff und potenzieller Angriffe zu mindern. Überprüfen Sie außerdem die Konfiguration Ihrer Zalouser-Allowlist, um sicherzustellen, dass es keine doppelten oder potenziell verwirrenden Gruppennamen gibt. Überwachen Sie die OpenClaw-Protokolle nach der Aktualisierung auf verdächtige Aktivitäten, um zu bestätigen, dass die Schwachstelle behoben wurde.
Actualice OpenClaw a la versión 2026.3.12 o posterior. Esta versión corrige la vulnerabilidad de autorización débil al utilizar identificadores de grupo estables en lugar de nombres de visualización mutables en la lista de permitidos de Zalouser.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Zalouser ist eine Komponente von OpenClaw, die die Kanalautorisierung verwaltet.
Die OpenClaw-Version kann in den Anwendungsinformationen oder in den Systemprotokollen gefunden werden.
Wenn Sie nicht sofort aktualisieren können, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. eine strengere Protokollüberwachung und die Beschränkung der Benutzerberechtigungen.
Diese Schwachstelle betrifft nur OpenClaw-Installationen, die den Zalouser-Allowlist-Modus verwenden.
Sie finden weitere Informationen zu dieser Schwachstelle in den Sicherheitsinformationen von OpenClaw und in Schwachstellen-Datenbanken wie dem NVD.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.