Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.12
La vulnérabilité CVE-2026-32914 concerne OpenClaw et est une faille de contrôle d'accès insuffisant. Elle permet à des utilisateurs non autorisés d'accéder à des configurations réservées aux propriétaires. L'impact peut inclure la lecture ou la modification de paramètres sensibles. Les versions affectées sont de 0 à 2026.3.12. La version 2026.3.12 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-32914 dans OpenClaw, avec un score CVSS de 8.8, représente un risque significatif pour les systèmes exécutant des versions antérieures à 2026.3.12. Cette faille de contrôle d'accès permet aux utilisateurs non propriétaires ayant une autorisation de commande d'accéder aux surfaces réservées aux propriétaires. Cela signifie qu'un attaquant disposant d'une autorisation de commande pourrait lire ou modifier des paramètres de configuration privilégiés réservés aux propriétaires, compromettant potentiellement l'intégrité et la confidentialité du système. La gravité de la vulnérabilité découle de la facilité avec laquelle elle peut être exploitée et de l'impact potentiel sur la sécurité du système OpenClaw.
Un attaquant disposant d'une autorisation de commande, mais pas du propriétaire du système OpenClaw, peut exploiter cette vulnérabilité. Il pourrait s'agir d'un utilisateur disposant de privilèges limités qui a obtenu l'accès par d'autres moyens, ou d'un attaquant externe qui a compromis un compte disposant de permissions de commande. L'attaquant pourrait alors utiliser les commandes /config et /debug pour lire ou modifier des configurations sensibles, telles que des mots de passe, des clés API ou des paramètres de configuration critiques. L'absence de vérification des autorisations au niveau du propriétaire permet cet accès non autorisé, ce qui représente un risque de sécurité important.
Organizations deploying OpenClaw in environments where command authorization is broadly granted are at risk. This includes systems with shared accounts or where user access controls are not strictly enforced. Environments utilizing OpenClaw for critical infrastructure or sensitive data processing are particularly vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace de CVE-2026-32914 est de mettre à niveau OpenClaw vers la version 2026.3.12 ou ultérieure. Cette mise à niveau intègre les correctifs nécessaires pour mettre en œuvre des contrôles d'accès appropriés et empêcher l'accès non autorisé aux surfaces propriétaires. En attendant, restreignez l'accès aux commandes /config et /debug aux seuls utilisateurs autorisés et propriétaires. Surveiller régulièrement les journaux du système à la recherche d'activités suspectes liées à ces commandes peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. L'application rapide de la mise à niveau est essentielle pour protéger les systèmes OpenClaw contre cette vulnérabilité.
Mettez à jour OpenClaw vers la version 2026.3.12 ou ultérieure. Cette version corrige la vulnérabilité de contrôle d'accès insuffisant dans les points de terminaison /config et /debug.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Dans OpenClaw, le 'propriétaire' est l'utilisateur qui détient les privilèges les plus élevés et qui a un contrôle total sur le système. Seul le propriétaire peut effectuer certaines actions, telles que modifier les configurations principales ou accéder à des informations sensibles.
Vous pouvez vérifier la version d'OpenClaw que vous utilisez en consultant les informations de version dans l'interface d'administration ou en exécutant une commande spécifique dans le système OpenClaw.
Si vous ne pouvez pas mettre à niveau immédiatement, restreignez l'accès aux commandes /config et /debug aux seuls utilisateurs autorisés et propriétaires. Surveillez régulièrement les journaux du système à la recherche d'activités suspectes.
Un attaquant pourrait compromettre des mots de passe, des clés API, des paramètres de configuration critiques et d'autres données sensibles stockées dans la configuration du système.
Vous pouvez trouver plus d'informations sur CVE-2026-32914 sur les bases de données de vulnérabilités telles que la National Vulnerability Database (NVD) ou dans la documentation officielle d'OpenClaw.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.