Plusieurs vulnérabilités critiques ont été découvertes dans OpenClaw, pouvant potentiellement entraîner une exécution de code à distance et une élévation de privilèges. Ces vulnérabilités affectent les versions antérieures à 2026.3.11. Il est fortement conseillé d'appliquer immédiatement les correctifs pour atténuer ces risques.
Ces CVE ont des scores de gravité critiques, indiquant un risque élevé d'exploitation et de compromission du système.
Qu'est-ce qu'Openclaw ?
CVE-2026-28466 : Exécution de code à distance via le contournement de l'approbation d'invocation de nœud
Gravité critique : exécution de code à distance avec un minimum de prérequis.
Un score EPSS de 0,099 indique une probabilité modérée d'exploitation.
Cette vulnérabilité permet aux attaquants disposant d'informations d'identification de passerelle valides de contourner le contrôle d'approbation d'exécution pour les commandes system.run. En injectant des champs de contrôle d'approbation, les attaquants peuvent exécuter des commandes arbitraires sur les hôtes de nœud connectés.
Comment corriger CVE-2026-28466 dans Openclaw
Patcher immédiatement- 1.Mettez à jour OpenClaw vers la version 2026.2.14 ou ultérieure.
composer update openclawSolution temporaire : Aucune solution de contournement connue.
NextGuard signale automatiquement CVE-2026-28466 si Openclaw apparaît dans l'un de vos projets surveillés : aucune recherche manuelle n'est requise.
CVE-2026-28470 : Contournement de la liste d'autorisation d'exécution via la substitution de commande entre guillemets doubles
Gravité critique : permet l'exécution de commandes arbitraires via le contournement de la liste d'autorisation.
Un score EPSS de 0,092 indique une probabilité modérée d'exploitation.
Cette vulnérabilité permet aux attaquants de contourner la liste d'autorisation des approbations d'exécution en injectant une syntaxe de substitution de commande dans des chaînes entre guillemets doubles. Les attaquants peuvent intégrer des $() ou des backticks non échappés pour exécuter des commandes non autorisées.
Comment corriger CVE-2026-28470 dans Openclaw
Patcher immédiatement- 1.Mettez à jour OpenClaw vers la version 2026.2.2 ou ultérieure.
composer update openclawSolution temporaire : Désactivez les approbations d'exécution ou assainissez soigneusement les entrées pour empêcher la substitution de commande.
NextGuard signale automatiquement CVE-2026-28470 si Openclaw apparaît dans l'un de vos projets surveillés : aucune recherche manuelle n'est requise.
CVE-2026-32922 : Élévation de privilèges via une portée non validée dans device.token.rotate
Gravité critique : permet l'élévation de privilèges au niveau administrateur.
Un score EPSS de 0,214 indique une probabilité d'exploitation relativement élevée.
Cette vulnérabilité permet aux attaquants ayant une portée operator.pairing de créer des jetons avec des portées plus larges. En ne contraignant pas les portées nouvellement créées, les attaquants peuvent obtenir des jetons operator.admin pour les appareils couplés.
Comment corriger CVE-2026-32922 dans Openclaw
Patcher immédiatement- 1.Mettez à jour OpenClaw vers la version 2026.3.11 ou ultérieure.
composer update openclawSolution temporaire : Restreignez l'accès à l'API device.token.rotate et validez soigneusement les portées.
NextGuard signale automatiquement CVE-2026-32922 si Openclaw apparaît dans l'un de vos projets surveillés : aucune recherche manuelle n'est requise.
Gardez une longueur d'avance sur les autres vulnérabilités
Identifiez et corrigez de manière proactive les vulnérabilités dans vos autres dépendances. Surveillez vos autres dépendances pour éviter les exploits potentiels.
Comparer les plansQuestions fréquentes
Ces vulnérabilités présentent un risque important pour les déploiements OpenClaw. Assurez-vous d'avoir appliqué les correctifs nécessaires et continuez à consulter toutes les autres vulnérabilités pour maintenir un environnement sécurisé. La surveillance régulière de vos dépendances est essentielle.
Sujets connexes