Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.13
CVE-2026-32917 est une vulnérabilité d'injection de commande dans OpenClaw. Elle permet à un attaquant d'exécuter des commandes arbitraires sur des hôtes distants configurés. Cette vulnérabilité affecte les versions antérieures à 2026.3.13. Elle a été corrigée dans la version 2026.3.13.
La vulnérabilité CVE-2026-32917 affecte les versions d'OpenClaw antérieures à 2026.3.13, introduisant une vulnérabilité d'injection de commandes à distance. Cette faille se situe dans le flux de préparation des pièces jointes iMessage. Un attaquant peut exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur les hôtes distants configurés. La vulnérabilité reçoit un score CVSS de 9.8, indiquant un risque critique. La cause première est le manque de validation des chemins des pièces jointes distantes contenant des métacaractères de shell, qui sont transmis directement à l'opérande SCP sans validation, ce qui permet l'exécution de commandes lorsque la préparation des pièces jointes distantes est activée.
La vulnérabilité est exploitée via le flux de préparation des pièces jointes iMessage. Un attaquant pourrait envoyer une pièce jointe malveillante conçue pour contenir des métacaractères de shell. Si la préparation des pièces jointes distantes est activée, OpenClaw transmettra le chemin de la pièce jointe (avec les caractères malveillants) à la commande SCP. Cela permet à l'attaquant d'exécuter des commandes arbitraires sur le serveur distant. La complexité de l'exploitation est relativement faible, car elle ne nécessite pas d'authentification et peut être déclenchée par une simple pièce jointe malveillante. L'impact est élevé, car elle permet l'exécution à distance de code avec les privilèges du processus OpenClaw.
Organizations utilizing OpenClaw with remote attachment staging enabled are at risk. This includes environments where OpenClaw is used for file sharing or collaboration, particularly those with less stringent security controls. Legacy OpenClaw deployments and systems with outdated configurations are also at increased risk.
disclosure
Statut de l'Exploit
EPSS
0.59% (percentile 69%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-32917 est de mettre à niveau OpenClaw vers la version 2026.3.13 ou ultérieure. Cette mise à jour corrige la vulnérabilité en mettant en œuvre une validation appropriée des chemins des pièces jointes distantes, empêchant l'injection de commandes. Tant que la mise à niveau n'est pas effectuée, il est recommandé de désactiver la fonctionnalité de préparation des pièces jointes distantes si elle n'est pas absolument nécessaire. La surveillance des journaux système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. Des tests approfondis après la mise à niveau sont recommandés pour garantir la stabilité du système.
Actualice OpenClaw a la versión 2026.3.13 o posterior. Esto corrige la vulnerabilidad de inyección de comandos remotos al validar correctamente las rutas de archivos adjuntos de iMessage antes de pasarlas a SCP.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenClaw est un logiciel de gestion de services de messagerie qui fournit une interface web pour gérer les comptes de messagerie.
Si vous utilisez une version d'OpenClaw antérieure à 2026.3.13, vous êtes vulnérable. Vérifiez la version installée sur votre système.
Un score CVSS de 9.8 indique une vulnérabilité critique qui nécessite une attention immédiate.
Désactiver la fonctionnalité de préparation des pièces jointes distantes est une solution de contournement temporaire.
Consultez la documentation officielle d'OpenClaw et les sources de sécurité de l'industrie pour plus de détails.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.