Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.15
2026.1.25
2026.2.14
La vulnérabilité CVE-2026-26317 est une faille de Cross-Site Request Forgery (CSRF) affectant openclaw, une bibliothèque Node.js. Elle permet à un site web malveillant de déclencher des modifications d'état non autorisées sur le navigateur local d'un utilisateur, comme l'ouverture de nouveaux onglets ou la manipulation de cookies. Cette vulnérabilité touche les versions d'openclaw inférieures ou égales à la version spécifiée. La correction est disponible dans la version 2026.2.14.
Un attaquant peut exploiter cette vulnérabilité CSRF pour effectuer des actions non autorisées dans le contexte du navigateur de la victime, même si le service de contrôle du navigateur est lié en boucle locale. Cela inclut potentiellement l'ouverture de nouveaux onglets, le démarrage ou l'arrêt du navigateur, et la modification du stockage ou des cookies. Bien que la liaison en boucle locale limite l'exposition à distance, elle ne bloque pas les requêtes initiées par le navigateur à partir d'origines malveillantes. Le risque est accru si l'utilisateur est connecté à des services sensibles via le navigateur contrôlé par openclaw.
La vulnérabilité CVE-2026-26317 a été publiée le 18 février 2026. Il n'y a pas d'indications d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une interaction de l'utilisateur et de la liaison en boucle locale, bien que des POC publics soient disponibles. Surveillez les forums de sécurité et les dépôts GitHub pour d'éventuels exploits.
Organizations and developers utilizing OpenClaw for automated browser testing, web scraping, or other browser control tasks are at risk. Specifically, those using OpenClaw in environments where users frequently browse untrusted websites or are susceptible to social engineering attacks are particularly vulnerable. Shared hosting environments where multiple applications share the same Node.js instance could also amplify the risk.
• nodejs: Monitor for unusual browser activity originating from external websites. Use ps aux | grep openclaw to identify running OpenClaw processes. Examine Node.js application logs for suspicious requests to OpenClaw endpoints.
• generic web: Inspect browser developer tools network requests for unexpected POST requests to OpenClaw endpoints. Check browser extensions for potentially malicious code.
• generic web: Review CSP headers to ensure they are properly configured to restrict cross-origin requests.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour openclaw vers la version 2026.2.14 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de renforcer les contrôles d'origine côté serveur pour valider les requêtes entrantes. Bien qu'une liaison en boucle locale soit en place, il est crucial de s'assurer que les routes de mutation ne sont accessibles qu'à partir de sources attendues. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une validation stricte des requêtes et une limitation des autorisations peuvent aider à atténuer le risque. Après la mise à jour, vérifiez que les routes de mutation nécessitent une authentification appropriée.
Mettez à jour OpenClaw à la version 2026.2.14 ou ultérieure. Comme solution de contournement, activez l'authentification du contrôle du navigateur (jeton/mot de passe) et évitez de l'exécuter avec l'authentification désactivée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-26317 is a CSRF vulnerability in OpenClaw allowing malicious websites to trigger unauthorized actions within a victim's browser control plane.
You are affected if you are using OpenClaw versions less than or equal to the vulnerable release. Check your installed version and upgrade accordingly.
Upgrade OpenClaw to version 2026.2.14 or later. Consider implementing strict CSP directives as an interim measure.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept code.
Refer to the OpenClaw project's official advisory channels and GitHub repository for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.