CVE-2026-28472: Authentication Bypass in OpenClaw Gateway
Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.2
CVE-2026-28472 describes an authentication bypass vulnerability in the OpenClaw gateway WebSocket connection handler. This flaw allows attackers to bypass device identity checks, potentially enabling unauthorized connections and access to protected resources. The vulnerability affects versions prior to 2026.2.2 and has been fixed in that release. Promptly upgrading is recommended to mitigate this critical risk.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-28472 dans OpenClaw permet à un attaquant de contourner les vérifications d'identité de l'appareil via la poignée de main WebSocket. Plus précisément, le serveur de passerelle WebSocket ne validait pas correctement le jeton d'authentification (auth.token) avant d'autoriser une connexion. Si un client envoyait un jeton, même s'il était invalide, le système supposait que l'identité de l'appareil était authentifiée, ce qui permettait des connexions non autorisées. Cela est particulièrement critique dans les environnements où la passerelle WebSocket est accessible à partir de réseaux externes, car un attaquant pourrait se faire passer pour un appareil légitime et accéder à des ressources protégées. Le score CVSS de 9,8 indique une sévérité critique, reflétant le potentiel d'impact significatif sur la sécurité du système.
Contexte d'Exploitation
L'exploitation de cette vulnérabilité nécessite un accès au point de terminaison WebSocket de la passerelle OpenClaw. Un attaquant pourrait utiliser des outils tels que curl ou websockets pour envoyer une poignée de main WebSocket avec un jeton d'authentification, même un jeton invalide. Le manque de validation appropriée du jeton permet à l'attaquant d'établir une connexion comme s'il s'agissait d'un appareil autorisé. L'impact de l'exploitation dépend des autorisations et des ressources auxquelles l'appareil usurpé a accès. La facilité d'exploitation, combinée à la gravité de la vulnérabilité, en fait une cible attrayante pour les attaquants de différents niveaux de compétence.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
L'atténuation principale pour CVE-2026-28472 consiste à mettre à niveau vers la version 2026.2.2 d'OpenClaw. Cette version corrige la logique de validation du jeton d'authentification, garantissant que seules les connexions avec des jetons valides sont autorisées. De plus, examinez la configuration de la passerelle WebSocket pour limiter son exposition aux réseaux externes. La mise en œuvre de pare-feu et de règles d'accès restrictives peut contribuer à réduire la surface d'attaque. Surveiller les journaux de la passerelle à la recherche de connexions suspectes est également une bonne pratique pour détecter et répondre aux tentatives d'exploitation potentielles. Des tests approfondis après la mise à niveau sont recommandés pour confirmer l'efficacité de l'atténuation et éviter d'introduire de nouveaux problèmes.
Comment corrigertraduction en cours…
Actualice OpenClaw a la versión 2026.2.2 o posterior. Esta versión corrige la vulnerabilidad que permite omitir la verificación de la identidad del dispositivo durante el handshake de conexión WebSocket del gateway.
Questions fréquentes
Qu'est-ce que CVE-2026-28472 dans openclaw ?
OpenClaw est une plateforme de simulation de robotique open source.
Suis-je affecté(e) par CVE-2026-28472 dans openclaw ?
Si vous utilisez une version d'OpenClaw antérieure à 2026.2.2, vous êtes probablement affecté. Vérifiez votre version installée et mettez à niveau si nécessaire.
Comment corriger CVE-2026-28472 dans openclaw ?
Isolez le système affecté, examinez les journaux à la recherche d'une activité suspecte et mettez à niveau vers la dernière version d'OpenClaw.
CVE-2026-28472 est-il activement exploité ?
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de restreindre l'accès à la passerelle WebSocket à un réseau interne de confiance.
Où trouver l'avis officiel de openclaw pour CVE-2026-28472 ?
Consultez la documentation officielle d'OpenClaw et les sources de sécurité pertinentes pour obtenir des informations à jour.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...