Plattform
nodejs
Komponente
openclaw
Behoben in
2026.3.28
2026.3.28
CVE-2026-33578 describes an authorization bypass vulnerability in OpenClaw. This flaw allows unauthorized users within allowlisted Google Chat spaces or Zalouser groups to interact with the bot, circumventing intended sender-level restrictions. The vulnerability affects versions of OpenClaw up to 2026.3.24 and has been resolved in version 2026.3.28, which is also the latest stable release.
CVE-2026-33578 in OpenClaw ermöglicht es nicht autorisierten Benutzern, mit dem Bot zu interagieren, selbst wenn Absender-basierte Beschränkungen konfiguriert wurden. Konkret wurde, wenn nur eine Gruppen-Allowlist auf Routenebene konfiguriert war (Google Chat oder Zalouser), die Sender-Policy-Auflösung von 'Allowlist' zu 'offen' herabgestuft. Das bedeutet, dass jedes Mitglied der Allowlist-Gruppe mit dem Bot kommunizieren konnte, wobei die Absicht des Operators, Interaktionen auf bestimmte Absender zu beschränken, umgangen wurde.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn der OpenClaw-Bot mit einer Gruppen-Allowlist konfiguriert ist und der Operator die Absicht hatte, den Zugriff auf bestimmte Absender zu beschränken. Der Angreifer, der Mitglied der Allowlist-Gruppe ist, könnte ohne Autorisierung mit dem Bot interagieren und möglicherweise die Sicherheit oder Integrität der vom Bot verarbeiteten Daten gefährden. Die Ausnutzung ist einfach und erfordert keine besonderen Maßnahmen vom Angreifer, abgesehen davon, Mitglied der zugelassenen Gruppe zu sein.
Organizations using OpenClaw for Google Chat and Zalouser integrations, particularly those relying on route-level group allowlists for access control, are at risk. This includes businesses using OpenClaw for internal communication, automation, or data processing within these platforms. Shared hosting environments where multiple users share an OpenClaw instance are also at increased risk.
• nodejs: Monitor OpenClaw logs for unexpected bot interactions from users outside of expected sender groups. Use journalctl -u openclaw to filter for relevant events.
• generic web: Review Google Chat and Zalouser integration logs for unusual bot commands or data access originating from members of allowlisted groups. Examine access/error logs for patterns indicating unauthorized access.
• generic web: Check for unexpected bot activity via curl: curl -v <openclaw_endpoint> | grep -i 'unauthorized access'
disclosure
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Um diese Schwachstelle zu beheben, aktualisieren Sie OpenClaw auf Version 2026.3.28 oder höher. Dieses Update behebt das fehlerhafte Verhalten bei der Sender-Policy-Auflösung und stellt sicher, dass Gruppenbeschränkungen durchgesetzt werden. Es wird empfohlen, Ihre Google Chat- und Zalouser-Allowlist-Konfigurationen zu überprüfen, um sicherzustellen, dass die Zugriffsberechtigungen nach dem Update wie erwartet funktionieren. Die Überwachung der Bot-Aktivität nach dem Update ist ebenfalls eine gute Praxis, um unerwartetes Verhalten zu identifizieren.
Actualice OpenClaw a la versión 2026.3.28 o posterior. Esta actualización corrige la vulnerabilidad de omisión de la política del remitente en las extensiones de Google Chat y Zalouser.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OpenClaw ist ein Framework zum Erstellen von Bots, die mit verschiedenen Messaging-Plattformen wie Google Chat und Zalouser interagieren.
Das Update behebt eine Sicherheitslücke, die es nicht autorisierten Benutzern ermöglichen könnte, mit dem Bot zu interagieren.
Überprüfen Sie Ihre Allowlist-Konfigurationen und überwachen Sie die Bot-Aktivität, um sicherzustellen, dass sie wie erwartet funktioniert.
Wenn Sie eine Version von OpenClaw vor 2026.3.28 verwenden und eine Gruppen-Allowlist konfiguriert haben, sind Sie wahrscheinlich betroffen.
Nein, das Update ist die einzige bekannte Lösung für diese Schwachstelle.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.