Plattform
javascript
Komponente
openclaw
Behoben in
2026.2.22
CVE-2026-3691 is an Information Disclosure vulnerability affecting the OpenClaw Client version 2026.2.21. This flaw allows remote attackers to potentially disclose stored credentials by exploiting weaknesses in the OAuth authorization implementation. User interaction is required, necessitating the target to initiate an OAuth authorization flow. A patch is available to address this issue.
CVE-2026-3691 in OpenClaw Client PKCE Verifier stellt eine Informationsoffenlegung dar, die potenziell gespeicherte Anmeldedaten preisgibt. Dies rührt von einem Fehler in der OAuth-Autorisierungsimplementierung her, bei dem sensible Daten in der Abfragezeichenfolge der Autorisierungs-URL offengelegt werden. Ein Angreifer kann dies ausnutzen, indem er einen Benutzer dazu verleitet, einen OAuth-Autorisierungsfluss zu starten. Obwohl der CVSS-Wert 5,3 beträgt, hängt das tatsächliche Risiko von der Sensibilität der offengelegten Anmeldedaten und der Fähigkeit des Angreifers ab, den Benutzer zu manipulieren. Das Fehlen einer sofortigen Lösung erfordert eine sorgfältige Bewertung und Abhilfemaßnahmen.
Für die Ausnutzung dieser Schwachstelle muss der Zielbenutzer einen OAuth-Autorisierungsfluss starten. Ein Angreifer könnte dies durch Phishing oder Linkmanipulation erreichen. Sobald der Benutzer den Fluss startet, werden sensible Informationen in der URL offengelegt, sodass der Angreifer sie abrufen kann. Der Erfolg der Ausnutzung hängt von der Fähigkeit des Angreifers ab, den Benutzer zu täuschen, und von der Sensibilität der offengelegten Informationen. Das Fehlen einer Lösung bedeutet, dass diese Schwachstelle weiterhin aktiv und potenziell ausnutzbar ist.
Users of the OpenClaw Client, particularly those relying on OAuth for authentication, are at risk. This includes individuals and organizations using the client for accessing services that require OAuth authorization. Systems with legacy configurations or those that haven't implemented robust OAuth security practices are particularly vulnerable.
• javascript / client:
// Check for presence of sensitive data in authorization URL query string
// Example: Check if 'verifier' parameter is present and contains a long, random string• generic web:
curl -v 'https://<openclaw_client_url>/oauth/authorize?response_type=code&client_id=<client_id>&redirect_uri=<redirect_uri>&verifier=<potential_verifier>' | grep 'verifier='disclosure
Exploit-Status
EPSS
0.07% (21% Perzentil)
CISA SSVC
CVSS-Vektor
Derzeit gibt es keinen Fix für CVE-2026-3691. OpenClaw Client-Benutzer werden dringend gebeten, den Zugriff auf Systeme zu beschränken, die OpenClaw verwenden, insbesondere solche, die sensible Informationen verarbeiten. Die Überwachung der OAuth-Autorisierungs-Logs auf verdächtige Aktivitäten ist entscheidend. OpenClaw-Entwickler sollten eine strengere Validierung der Autorisierungs-URL-Parameter implementieren und die Aufnahme sensibler Informationen in die Abfragezeichenfolge vermeiden. Es ist wichtig, sich über Sicherheitsupdates von OpenClaw auf dem Laufenden zu halten, um zukünftige Lösungen anzuwenden.
Actualice a la versión corregida para mitigar la divulgación de credenciales. La vulnerabilidad se debe a la exposición de datos sensibles en la cadena de consulta de la URL de autorización. Verifique y fortalezca la implementación de OAuth para evitar la exposición de información confidencial en las URL.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Die offengelegten Informationen hängen von der OpenClaw-Konfiguration und den Daten ab, die im OAuth-Autorisierungsfluss verwendet werden. Dazu können Zugriffstoken, Benutzeridentifikatoren oder andere sensible Daten gehören.
Wenn Sie OpenClaw Client verwenden, sind Sie wahrscheinlich anfällig, bis ein Fix veröffentlicht wird. Überprüfen Sie Ihre OAuth-Autorisierungs-Logs auf ungewöhnliche Aktivitäten.
Ändern Sie sofort die Passwörter aller Konten, die möglicherweise kompromittiert wurden. Melden Sie den Vorfall den zuständigen Behörden und den OpenClaw-Entwicklern.
Die Beschränkung des Zugriffs auf Systeme, die OpenClaw verwenden, und die Überwachung der OAuth-Autorisierungs-Logs sind vorübergehende Maßnahmen zur Risikominderung.
Es gibt kein geschätztes Veröffentlichungsdatum für einen Fix. Bleiben Sie über Sicherheitsupdates von OpenClaw auf dem Laufenden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.