Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.26
2026.2.26
La vulnérabilité CVE-2026-32055 affecte la bibliothèque openclaw pour Node.js. Elle se manifeste par un contournement de limite de workspace, permettant à un attaquant de créer des fichiers en dehors du répertoire prévu. Les versions concernées sont celles inférieures ou égales à 2026.2.25. Une correction est disponible dans la version 2026.2.26.
Cette vulnérabilité permet à un attaquant d'exploiter une faille dans la validation des chemins d'accès aux workspaces. En créant un lien symbolique (symlink) pointant vers un emplacement non existant en dehors du workspace, l'attaquant peut contourner les contrôles de sécurité et écrire des fichiers à des endroits inattendus sur le système de fichiers. Cela peut entraîner une compromission de la sécurité de l'application, une exécution de code arbitraire ou une perte de données, en fonction des permissions de l'utilisateur exécutant l'application. L'impact est amplifié si l'application s'exécute avec des privilèges élevés.
Cette vulnérabilité a été rendue publique le 2026-03-12. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité de créer un lien symbolique et de comprendre le fonctionnement interne de la bibliothèque openclaw. Il n'est pas listé sur le KEV de CISA.
Node.js projects utilizing the openclaw package, particularly those with relaxed workspace access controls or relying on symlinks for file management, are at risk. Shared hosting environments where multiple projects share the same file system are also potentially vulnerable.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm audit• nodejs / supply-chain:
find node_modules -name "openclaw*" -type d -print0 | xargs -0 grep -i "workspace boundary"disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour openclaw vers la version 2026.2.26 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement la configuration du workspace et de restreindre les permissions d'accès aux fichiers. En attendant la mise à jour, une solution temporaire pourrait consister à désactiver temporairement la fonctionnalité de workspace-only path validation, mais cela doit être fait avec prudence et après une évaluation des risques. Vérifiez après la mise à jour que la validation des chemins d'accès fonctionne correctement en testant des scénarios d'écriture de fichiers en dehors du workspace.
Actualice OpenClaw a la versión 2026.2.26 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del workspace a través de symlinks.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32055 is a HIGH severity vulnerability in the openclaw Node.js package allowing attackers to create files outside the intended workspace via symlink manipulation.
You are affected if you are using openclaw versions 2026.2.25 or earlier. Check your project dependencies to determine if you are using a vulnerable version.
Upgrade openclaw to version 2026.2.26 or later. This resolves the workspace boundary bypass vulnerability.
As of the last update, there are no known active exploits targeting CVE-2026-32055, but it's crucial to apply the patch proactively.
Refer to the openclaw project's repository and npm package page for the latest information and advisory regarding CVE-2026-32055.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.