Plattform
nodejs
Komponente
openclaw
Behoben in
2026.2.17
2026.2.17
CVE-2026-33572 describes a security vulnerability in OpenClaw where session transcript files are created with default permissions that are too permissive. This allows local users to read the contents of these files, potentially exposing sensitive information such as secrets embedded in tool output. The vulnerability affects OpenClaw versions prior to 2026.2.17 and has been resolved in version 2026.2.17.
Die CVE-2026-33572-Schwachstelle in OpenClaw betrifft Versionen vor 2026.2.17. OpenClaw vergab beim Erstellen neuer Sitzungstransskriptdateien im JSONL-Format standardmäßig übermäßig weitreichende Berechtigungen. Auf Mehrbenutzer-Hosts konnten andere lokale Benutzer oder Prozesse den Inhalt dieser Transkripte lesen, was potenziell sensible Informationen, einschließlich Geheimnisse, die in der Ausgabe von Tools erscheinen könnten, preisgeben könnte. Das Risiko ist besonders hoch in gemeinsam genutzten Umgebungen, in denen die Vertraulichkeit von Sitzungsdaten von entscheidender Bedeutung ist.
Ein lokaler Angreifer mit Zugriff auf das System könnte diese Schwachstelle ausnutzen, um Sitzungstransskripte anderer Benutzer zu lesen. Dies könnte es ihnen ermöglichen, vertrauliche Informationen wie Passwörter, API-Schlüssel oder andere Geheimnisse zu erhalten, die während OpenClaw-Sitzungen verwendet wurden. Die Ausnutzung ist wahrscheinlicher in Mehrbenutzerumgebungen, in denen Benutzer denselben Computer gemeinsam nutzen oder Zugriff auf Dateien an gemeinsam genutzten Orten haben.
This vulnerability primarily affects developers and organizations using openclaw in multi-user environments, particularly those where sensitive data might be present in tool output within openclaw sessions. Shared hosting environments where multiple users share the same server are also at increased risk.
• nodejs / server:
find /path/to/openclaw/session_store -perm -002 -type f• nodejs / supply-chain:
npm ls openclaw• generic web: Check file permissions on the openclaw session store directory.
disclosure
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Um dieses Risiko zu mindern, wird empfohlen, OpenClaw auf Version 2026.2.17 oder höher zu aktualisieren. Diese Version behebt die Schwachstelle, indem die Berechtigungen für Sitzungstransskriptdateien eingeschränkt werden, sodass nur der Eigentümer darauf zugreifen kann. Überprüfen Sie außerdem die Sicherheitspolitik Ihres Systems, um sicherzustellen, dass Transskriptdateien an sicheren Orten gespeichert und ordnungsgemäß verwaltet werden. Erwägen Sie die Implementierung strengerer Zugriffskontrollen, wenn die Vertraulichkeit von Sitzungsdaten ein wichtiges Anliegen ist.
Actualice OpenClaw a la versión 2026.2.17 o posterior. Esta versión corrige los permisos de los archivos de transcripción de sesión, evitando que usuarios locales no autorizados accedan a información sensible.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OpenClaw ist ein Tool zur Entwicklung von Tabletop-Rollenspielen. Diese Schwachstelle betrifft die Art und Weise, wie OpenClaw Sitzungstranskripte verarbeitet.
Wenn Sie eine Version von OpenClaw vor 2026.2.17 verwenden, sind Sie wahrscheinlich betroffen.
Aktualisieren Sie OpenClaw sofort auf die neueste Version. Überprüfen Sie Sitzungstransskripte auf Anzeichen unbefugten Zugriffs. Erwägen Sie, Passwörter und API-Schlüssel zu ändern, die möglicherweise kompromittiert wurden.
Wenn Sie nicht sofort aktualisieren können, können Sie versuchen, die Berechtigungen für Sitzungstransskripte manuell einzuschränken, sodass nur der Eigentümer darauf zugreifen kann. Dies erfordert jedoch technisches Fachwissen und ist möglicherweise keine vollständige Lösung.
Weitere Informationen finden Sie auf der Seite CVE-2026-33572 in der National Vulnerability Database (NVD): [https://nvd.nist.gov/vuln/detail/CVE-2026-33572](https://nvd.nist.gov/vuln/detail/CVE-2026-33572)
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.