Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.24
2026.2.24
La vulnérabilité CVE-2026-32033 affecte OpenClaw, un runtime d'assistant personnel. Elle se manifeste par un contournement de la protection du système de fichiers, permettant à des chemins absolus @-préfixés d'échapper à la validation des limites dans certaines vérifications de chemins d'outils. Cette faille peut potentiellement conduire à des lectures de fichiers en dehors du workspace prévu, affectant les versions antérieures à 2026.2.24. Une mise à jour vers la version corrigée est recommandée.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant de lire des fichiers sensibles situés en dehors du workspace attendu. En exploitant cette faille, un attaquant pourrait accéder à des informations confidentielles telles que des fichiers de configuration, des données d'utilisateur ou d'autres fichiers système. Bien que OpenClaw soit conçu pour un environnement de confiance, cette vulnérabilité compromet cette hypothèse et pourrait permettre une escalade de privilèges ou une exfiltration de données. Le risque est exacerbé si OpenClaw est utilisé dans des environnements où des données sensibles sont traitées.
La vulnérabilité CVE-2026-32033 a été publiée le 3 mars 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la complexité de l'exploitation et du fait qu'OpenClaw est principalement utilisé dans des environnements de confiance. Il n'y a pas de PoC public connu.
Users who have enabled tools.fs.workspaceOnly=true in their OpenClaw configuration and are running versions prior to 2026.2.24 are at increased risk. This includes developers and users who rely on OpenClaw for personal-assistant runtime tasks and have configured it with non-default sandbox/tooling settings.
• nodejs: Monitor OpenClaw process arguments for suspicious @-prefixed absolute paths. Use ps aux | grep claw to identify running processes and examine their command-line arguments for patterns like @/etc/passwd.
ps aux | grep claw | grep '@'• generic web: Examine access logs for requests containing @-prefixed absolute paths. Look for patterns like /tools/some_tool?path=@/etc/passwd.
grep '@/etc/passwd' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour OpenClaw vers la version 2026.2.24, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, il est recommandé de désactiver temporairement la fonctionnalité tools.fs.workspaceOnly=true si elle n'est pas essentielle. Une autre approche consiste à renforcer la validation des chemins d'accès aux outils, en s'assurant que tous les chemins absolus sont correctement normalisés avant d'être utilisés. Après la mise à jour, vérifiez l'intégrité du système de fichiers et assurez-vous que les chemins d'accès aux outils sont correctement restreints.
Actualice OpenClaw a la versión 2026.2.24 o posterior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente las rutas con prefijo @ dentro del límite del espacio de trabajo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32033 is a vulnerability in OpenClaw where a file-system guard mismatch allows attackers to bypass validation using @-prefixed paths, potentially leading to unauthorized file access.
You are affected if you are using OpenClaw versions prior to 2026.2.24 and have tools.fs.workspaceOnly=true enabled.
Upgrade OpenClaw to version 2026.2.24 or later to resolve this vulnerability. Review and tighten sandbox/tooling configurations as a temporary workaround.
Currently, there is no confirmed active exploitation of CVE-2026-32033, but vigilance is advised.
Refer to the OpenClaw SECURITY.md file for details on this vulnerability and mitigation steps.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.