Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.19
2026.2.19
Une vulnérabilité de confidentialité a été découverte dans openclaw, une bibliothèque Node.js. Cette faille se produit lorsque la récupération d'attachements iMessage à distance est activée, permettant à un attaquant de copier des fichiers arbitraires du serveur distant via SCP. Les versions affectées concernent openclaw jusqu'à la version 2026.2.17, et une correction est attendue dans la prochaine version avec validation des chemins.
Cette vulnérabilité permet à un attaquant de compromettre la confidentialité des données sur le serveur distant. En exploitant cette faille, un attaquant peut potentiellement copier des fichiers sensibles situés en dehors des répertoires d'attachements iMessage attendus. L'attaquant peut ainsi accéder à des informations confidentielles, modifier des fichiers ou même exécuter du code malveillant sur le serveur distant, en fonction des permissions accordées au processus openclaw. Bien que la description ne précise pas de scénarios d'exploitation spécifiques, le potentiel d'accès non autorisé à des données sensibles est significatif.
Cette vulnérabilité a été rendue publique le 2026-03-03. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur le KEV de CISA. Aucun proof-of-concept public n'est connu à ce jour. La probabilité d'exploitation est considérée comme modérée en raison de la nécessité de configurer channels.imessage.remoteHost à true pour que la vulnérabilité soit exploitable.
Applications utilizing openclaw for iMessage integration, particularly those with channels.imessage.remoteHost enabled, are at risk. Shared hosting environments where multiple applications share the same server and file system are also potentially vulnerable, as a compromise in one application could lead to the exposure of data from others.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm audit openclaw• generic web:
Inspect Node.js application configuration files for the presence of channels.imessage.remoteHost set to true.
disclosure
patch
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à désactiver la récupération d'attachements iMessage à distance en configurant channels.imessage.remoteHost à false. En attendant la prochaine version corrigée, il est fortement recommandé de limiter l'accès au serveur distant et de surveiller attentivement les journaux système pour détecter toute activité suspecte. Après la mise à jour vers la version 2026.2.19, vérifiez que la récupération d'attachements iMessage à distance est bien désactivée et que les journaux ne présentent aucune erreur.
Actualice OpenClaw a la versión 2026.2.19 o posterior. Esto corrige la vulnerabilidad de path traversal en la función stageSandboxMedia al validar correctamente las rutas de los archivos adjuntos remotos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32030 is a HIGH severity vulnerability in openclaw affecting versions up to 2026.2.17. It allows attackers to stage arbitrary files via SCP, potentially exposing confidential data if iMessage remote attachment fetching is enabled.
You are affected if you are using openclaw versions up to 2026.2.17 and have channels.imessage.remoteHost enabled. Check your installed version with npm list openclaw.
Upgrade openclaw to version 2026.2.19 or later. Alternatively, disable channels.imessage.remoteHost to prevent remote attachment fetching.
As of now, there are no confirmed reports of active exploitation. However, the vulnerability's potential impact warrants prompt remediation.
Refer to the openclaw project's release notes and repository for the latest information and advisory regarding CVE-2026-32030.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.