Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.14
2026.2.14
La vulnérabilité CVE-2026-28476 est une faille de Server-Side Request Forgery (SSRF) affectant OpenClaw. Cette faille permet à un attaquant de manipuler le serveur pour qu'il effectue des requêtes HTTP vers des destinations arbitraires, potentiellement compromettant des ressources internes. Elle concerne les versions d'OpenClaw comprises entre 0 et 2026.2.14. Une mise à jour vers la version 2026.2.14 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est significatif si l'extension Tlon (Urbit) est installée et configurée, et si un attaquant peut influencer l'URL Urbit configurée. Dans ce scénario, un attaquant pourrait forcer la passerelle à effectuer des requêtes HTTP vers des hôtes de son choix, y compris des adresses internes. Cela pourrait permettre l'accès non autorisé à des services internes, la lecture de données sensibles ou même l'exécution de code malveillant sur des systèmes vulnérables. La portée de l'attaque est limitée aux systèmes utilisant l'extension Tlon et où l'URL Urbit est contrôlable par un attaquant.
Cette vulnérabilité a été rendue publique le 2026-03-05. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite l'installation et la configuration de l'extension Tlon (Urbit), ce qui limite le nombre de systèmes potentiellement vulnérables. Cette vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Organizations deploying OpenClaw with the Tlon (Urbit) extension enabled are at risk. This includes those using OpenClaw for custom applications or integrations where the Urbit URL is not carefully controlled. Shared hosting environments where users can configure extensions pose a heightened risk.
• nodejs: Monitor OpenClaw logs for unusual outbound HTTP requests, particularly those originating from the Tlon (Urbit) extension. Use lsof or netstat to identify processes making connections to unexpected destinations.
lsof -i | grep claw• generic web: Examine access logs for requests to internal resources that should not be accessible from the outside. Check response headers for signs of SSRF exploitation.
grep "internal.domain.com" /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.2.14, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est crucial de restreindre l'URL Urbit configurée pour empêcher les requêtes vers des destinations non autorisées. Il est également recommandé de mettre en place un pare-feu applicatif web (WAF) pour filtrer les requêtes suspectes et bloquer les tentatives d'exploitation de la vulnérabilité. Vérifiez après la mise à jour que l'URL Urbit est correctement configurée et qu'elle ne permet pas d'accès non autorisé.
Mettez à jour OpenClaw à la version 2026.2.14 ou ultérieure. Cette version corrige la vulnérabilité de Server-Side Request Forgery (SSRF) dans l'extension Tlon Urbit en validant correctement les URL fournies par l'utilisateur pour l'authentification.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28476 is a server-side request forgery vulnerability in OpenClaw's Tlon (Urbit) extension, allowing attackers to make HTTP requests to arbitrary destinations.
You are affected if you are using OpenClaw versions 0–2026.2.14 and have the Tlon (Urbit) extension installed and configured.
Upgrade OpenClaw to version 2026.2.14 or later. Alternatively, disable the Tlon (Urbit) extension if an upgrade is not immediately possible.
There is currently no evidence of active exploitation, and no public proof-of-concept exploits are available.
Refer to the OpenClaw project's official security advisories for the most up-to-date information and guidance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.