Plattform
nodejs
Komponente
openclaw
Behoben in
2026.2.18
CVE-2026-3690 represents an Authentication Bypass vulnerability discovered in OpenClaw. This flaw allows remote attackers to circumvent authentication mechanisms, potentially leading to unauthorized access and control of the system. The vulnerability affects OpenClaw versions 2026.2.17–2026.2.17. A patch addressing this issue has been released.
CVE-2026-3690 in OpenClaw ermöglicht es Remote-Angreifern, die Authentifizierung zu umgehen, ohne Anmeldedaten zu benötigen. Dies ist auf eine fehlerhafte Implementierung der Authentifizierungsfunktion für Canvas-Endpunkte zurückzuführen. Ein Angreifer kann diese Schwachstelle ausnutzen, um auf das System zuzugreifen, ohne den normalen Authentifizierungsprozess durchlaufen zu müssen, was zu unbefugtem Zugriff auf sensible Daten oder Manipulation der Systemeinstellungen führen kann. Die Schwere dieser Schwachstelle wird mit 7.4 auf der CVSS-Skala bewertet, was ein erhebliches Risiko anzeigt. Das derzeitige Fehlen eines Patches verschärft die Situation und erfordert sofortige Vorsichtsmaßnahmen.
CVE-2026-3690 wird ausgenutzt, indem eine Schwachstelle in der Authentifizierungslogik der Canvas-Endpunkte in OpenClaw ausgenutzt wird. Der Angreifer benötigt keine gültigen Anmeldedaten, um auf diese Funktionen zuzugreifen. Die Ausnutzung beinhaltet wahrscheinlich das Senden bösartiger Anfragen, die darauf abzielen, Authentifizierungsprüfungen zu umgehen. Der ursprüngliche Bericht (ZDI-CAN-29311) gibt an, dass die Schwachstelle in der Implementierung der Authentifizierungsfunktion liegt, was darauf hindeutet, dass die Schwachstelle ausgenutzt werden kann, indem Eingabeparameter manipuliert oder bestimmte Skripte ausgeführt werden. Das Fehlen einer KEV (Kernel Exploit Verification) deutet darauf hin, dass die Überprüfung der Ausnutzung in einer kontrollierten Umgebung noch läuft, aber die CVSS-Schweregradbewertung deutet darauf hin, dass die Ausnutzbarkeit möglich ist.
Organizations utilizing OpenClaw for any purpose, particularly those relying on its authentication mechanisms for access control, are at risk. This includes environments where OpenClaw is exposed to external networks or untrusted users. Legacy configurations or deployments without proper network segmentation are particularly vulnerable.
disclosure
Exploit-Status
EPSS
0.16% (37% Perzentil)
CISA SSVC
CVSS-Vektor
Da es für CVE-2026-3690 in OpenClaw kein Fix verfügbar ist, konzentriert sich die Abschwächung auf ergänzende Sicherheitsmaßnahmen. Wir empfehlen dringend, betroffene OpenClaw-Installationen in einem segmentierten Netzwerk zu isolieren, um die potenziellen Auswirkungen einer Ausnutzung zu begrenzen. Eine kontinuierliche Überwachung des Systems auf verdächtige Aktivitäten ist ebenfalls unerlässlich. Erwägen Sie, Canvas-Funktionen vorübergehend zu deaktivieren, wenn dies möglich ist, bis ein offizielles Patch veröffentlicht wird. Bleiben Sie über Sicherheitsupdates von OpenClaw auf dem Laufenden und wenden Sie Patches so bald wie möglich an. Die Implementierung einer robusten Firewall und strenger Zugriffskontrollen kann das Risiko weiter reduzieren.
Actualice OpenClaw a la versión corregida. Revise la documentación oficial de OpenClaw o el repositorio de GitHub para obtener instrucciones específicas de actualización. Asegúrese de que la implementación de la autenticación se revise y fortalezca para prevenir futuros bypasses.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Das bedeutet, dass ein Angreifer auf das System oder bestimmte Funktionen zugreifen kann, ohne einen gültigen Benutzernamen und ein Passwort benötigen.
Da es keinen Patch gibt, isolieren Sie Ihr System, überwachen Sie die Aktivität und deaktivieren Sie Canvas-Funktionen, wenn möglich. Bleiben Sie über Sicherheitsupdates auf dem Laufenden.
Obwohl es keine KEV gibt, deutet der CVSS-Score von 7.4 darauf hin, dass die Schwachstelle aktiv und ausnutzbar ist.
Es gibt kein geschätztes Veröffentlichungsdatum für einen Fix. Überprüfen Sie die OpenClaw-Website auf Updates.
Dies ist der Bezeichner des ursprünglichen Schwachstellenberichts, der an Zero Day Initiative (ZDI) übermittelt wurde.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.