Comment mettre à jour OpenClaw ?

Vous pouvez mettre à jour OpenClaw en utilisant la commande `npm update openclaw`. Cette commande mettra à jour OpenClaw vers la dernière version, y compris les correctifs de sécurité. Il est recommandé de mettre à jour régulièrement vos dépendances pour vous protéger contre les vulnérabilités connues.

Quels sont les risques de ne pas corriger OpenClaw ?

Ne pas corriger OpenClaw peut exposer votre application à divers risques de sécurité, notamment l'exécution de code à distance, le contournement de l'authentification et la divulgation de fichiers sensibles. Les attaquants peuvent exploiter ces vulnérabilités pour compromettre votre système ou voler des données sensibles. La correction rapide est essentielle pour atténuer ces risques.

Où puis-je trouver plus d'informations sur les vulnérabilités d'OpenClaw ?

Vous pouvez trouver plus d'informations sur les vulnérabilités d'OpenClaw sur des sites Web de sécurité comme #SITE_NAME#, qui suit et rend compte des CVE nouvellement découvertes. Ces plateformes fournissent des informations détaillées sur les vulnérabilités, leur impact et comment les corriger.

Multiples Vulnérabilités Corrigées dans OpenClaw

Q: Qu'est-ce qu'OpenClaw ?

OpenClaw est un package nodejs qui fournit des fonctionnalités spécifiques aux applications. Il est utilisé dans divers contextes, et les vulnérabilités au sein d'OpenClaw peuvent avoir un impact sur la sécurité des applications qui en dépendent. Garder OpenClaw à jour est crucial pour maintenir la sécurité des applications.

De multiples vulnérabilités ont été découvertes dans OpenClaw, un composant nodejs, incluant l'injection de commandes, le contournement de l'authentification et la divulgation de fichiers sensibles. Ces vulnérabilités pourraient permettre aux attaquants d'exécuter du code arbitraire, de contourner les contrôles de sécurité ou d'accéder à des informations sensibles. Il est conseillé aux utilisateurs de mettre à jour vers les dernières versions d'OpenClaw pour atténuer ces risques.

Ces vulnérabilités varient en gravité, la plus critique pouvant potentiellement conduire à l'exécution de code à distance.

Qu'est-ce qu'Openclaw ?

Openclaw est un composant pour nodejs, probablement utilisé dans diverses applications pour fournir des fonctionnalités spécifiques. En raison de son rôle dans la gestion d'opérations potentiellement sensibles, les vulnérabilités dans Openclaw peuvent avoir des implications de sécurité importantes pour les applications qui en dépendent. Pour en savoir plus, vous pouvez rechercher toutes les CVE openclaw.

CVE-2026-28363 : Contournement de la validation OpenClaw via les abréviations d'options longues GNU

CVSS9.9

Versions affectéesLes versions d'OpenClaw antérieures à 2026.2.23 sont affectées lors de l'utilisation du mode liste blanche et de la confiance en la correspondance exacte des chaînes pour les options de ligne de commande.

Critique : Permet l'exécution de commandes non autorisées.

Un score EPSS de 0,036 indique une faible probabilité d'exploitation.

La validation tools.exec.safeBins d'OpenClaw pour le tri pouvait être contournée via les abréviations d'options longues GNU en mode liste blanche. Cela permettait des chemins d'exécution non intentionnels qui auraient dû nécessiter une approbation.

Comment corriger CVE-2026-28363 dans OpenClaw

Patcher immédiatement

1.Mettez à jour OpenClaw vers la version 2026.2.23 ou ultérieure.

Mettre à jour OpenClaw

npm update openclaw

Solution temporaire : Évitez d'utiliser les abréviations d'options longues GNU dans les configurations en mode liste blanche.

NextGuard signale automatiquement CVE-2026-28363 si OpenClaw apparaît dans l'un de vos projets surveillés - aucune recherche manuelle n'est requise.

CVE-2026-28472 : Contournement de la vérification de l'identité du périphérique de connexion à la passerelle OpenClaw

CVSS9.8

Versions affectéesLes versions d'OpenClaw 2026.2.1 et antérieures sont affectées dans les déploiements où le WebSocket de la passerelle est accessible et où les connexions peuvent être autorisées via Tailscale sans valider le secret partagé.

Critique : Permet un accès non autorisé à la passerelle.

Un score EPSS de 0,054 suggère une faible probabilité d'exploitation.

La prise de contact de connexion WebSocket de la passerelle dans OpenClaw pouvait ignorer les vérifications d'identité du périphérique si un auth.token était présent mais pas encore validé. Cela permettait aux clients de se connecter sans vérification appropriée de l'identité du périphérique.

Comment corriger CVE-2026-28472 dans OpenClaw

Patcher immédiatement

1.Mettez à jour OpenClaw vers la version 2026.2.2 ou ultérieure.

Mettre à jour OpenClaw

npm update openclaw

Solution temporaire : Assurez-vous que le WebSocket de la passerelle n'est accessible que depuis un réseau de confiance et par des utilisateurs de confiance. Restreignez les utilisateurs/ACL Tailnet lors de l'utilisation de Tailscale Serve.

CVE-2026-32030 : Divulgation de fichiers sensibles OpenClaw via stageSandboxMedia

CVSS7.5

Versions affectéesLes versions d'OpenClaw jusqu'à la version 2026.2.17 incluse sont affectées lorsque les pièces jointes iMessage sont activées, le mode de pièce jointe à distance est actif et un attaquant peut injecter/altérer les métadonnées du chemin de la pièce jointe.

Élevé : Permet la divulgation de fichiers sensibles.

Un score EPSS de 0,068 indique une faible probabilité d'exploitation.

La fonction `stageSandboxMedia` d'OpenClaw acceptait des chemins absolus arbitraires lorsque la récupération des pièces jointes à distance iMessage était activée, ce qui entraînait la divulgation de fichiers sensibles. Un attaquant pouvait influencer les métadonnées du chemin de la pièce jointe entrante pour divulguer des fichiers lisibles par le processus OpenClaw sur l'hôte distant.

Comment corriger CVE-2026-32030 dans OpenClaw

Patcher sous 7 jours

1.Mettez à jour OpenClaw vers la version 2026.2.19 ou ultérieure.
2.Si les pièces jointes à distance ne sont pas nécessaires, désactivez l'ingestion des pièces jointes iMessage.
3.Exécutez OpenClaw avec le minimum de privilèges sur l'hôte distant.

Mettre à jour OpenClaw

npm update openclaw

Solution temporaire : Désactivez l'ingestion des pièces jointes iMessage si les pièces jointes à distance ne sont pas nécessaires. Exécutez OpenClaw avec le minimum de privilèges sur l'hôte distant.

CVE-2026-32056 : L'injection d'env de démarrage de shell OpenClaw contourne la liste blanche system.run

CVSS7.5

Versions affectéesLes versions d'OpenClaw 2026.2.21-2 et antérieures sont affectées. Cette vulnérabilité peut être exploitée si un attaquant peut contrôler les variables d'environnement HOME ou ZDOTDIR.

Élevé : Permet l'exécution de code à distance.

Un score EPSS de 0,143 suggère une probabilité modérée d'exploitation.

La désinfection de l'environnement `system.run` d'OpenClaw autorisait les remplacements d'environnement de démarrage de shell (HOME, ZDOTDIR), ce qui entraînait l'injection de commandes. Les attaquants pouvaient exécuter du code arbitraire en contrôlant les fichiers de démarrage du shell avant les corps de commande évalués par la liste blanche.

Comment corriger CVE-2026-32056 dans OpenClaw

Patcher sous 24h

1.Mettez à jour OpenClaw vers la version 2026.2.22 ou ultérieure.

Mettre à jour OpenClaw

npm update openclaw

Gardez une longueur d'avance sur les vulnérabilités nodejs

Détectez et corrigez de manière proactive les vulnérabilités dans vos projets nodejs. Utilisez NextGuard pour surveiller vos dépendances nodejs et recevoir des alertes sur les nouvelles CVE.

Comparer les plans

Questions fréquentes

De multiples vulnérabilités ont été corrigées dans les récentes versions d'OpenClaw. Il est crucial de mettre à jour vers les dernières versions pour assurer la sécurité de vos applications. Voir toutes les vulnérabilités nodejs.

Sujets connexes

nodejsvulnerabilitysecurityopenclawpatch