Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.11
2026.3.11
La vulnérabilité CVE-2026-32918 dans OpenClaw est une faille d'évasion de sandbox de session. Elle permet aux sous-agents d'accéder à l'état de session parent ou frère. L'impact peut inclure la lecture ou la modification de données de session. Les versions affectées sont de 0 à 2026.3.11. La version 2026.3.11 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-32918 dans OpenClaw affecte l'outil interne session_status, qui n'appliquait pas correctement les limites de visibilité de session. Un sous-agent sandboxed pouvait fournir la sessionKey d'une autre session, lui permettant d'inspecter ou de modifier des états en dehors de sa propre portée de sandbox. Cela représente un risque de sécurité important, car un sous-agent malveillant pourrait accéder à des informations sensibles ou même altérer le comportement d'autres sessions.
L'exploitation de cette vulnérabilité nécessite qu'un sous-agent sandboxed soit capable d'obtenir la sessionKey d'une autre session. Cela pourrait se produire si la configuration du sandbox est incorrecte ou s'il existe d'autres vulnérabilités qui permettent à un sous-agent de s'échapper de son environnement isolé. Une fois que l'attaquant a la sessionKey, il peut l'utiliser pour lire ou modifier des données dans la session cible, y compris les modèles persistants.
Applications and services relying on openclaw for sandboxing and session management are at risk. This includes systems where subagents are used to extend the functionality of the main application, particularly those handling sensitive user data or financial transactions. Organizations using legacy openclaw configurations or those with limited resources for timely patching are particularly vulnerable.
• nodejs:
npm list openclawThis command will list installed openclaw versions. Check if the version is <= 2026.3.8. • nodejs:
find / -name "openclaw*" -type d -printThis command searches for openclaw related directories, which may indicate installation locations. • generic web: Review openclaw logs for unusual session activity or attempts to access data outside the expected scope. Look for patterns indicative of a sandboxed subagent attempting to access other session keys.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Pour atténuer ce risque, il est recommandé de mettre à jour OpenClaw vers la version 2026.3.11 ou ultérieure. Cette version inclut une correction qui renforce l'application des limites de visibilité de session, empêchant l'accès non autorisé aux données d'autres sessions. De plus, examinez la configuration des sous-agents sandboxed pour vous assurer qu'ils n'ont accès qu'aux ressources nécessaires à leur fonctionnement, minimisant ainsi la surface d'attaque. La mise à jour est la solution la plus efficace et est fortement recommandée.
Mettez à jour OpenClaw vers la version 2026.3.11 ou ultérieure. Cette version corrige la vulnérabilité d'évasion de sandbox de session dans l'outil session_status.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenClaw est un framework pour l'exécution d'agents d'IA dans des environnements sandboxed.
Un sandbox est un environnement isolé qui limite l'accès d'un agent aux ressources du système, l'empêchant de causer des dommages ou d'accéder à des informations confidentielles.
Vous pouvez vérifier votre version d'OpenClaw en exécutant la commande openclaw --version dans la ligne de commande.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de restreindre l'accès des sous-agents sandboxed aux ressources du système et de surveiller l'activité de la session à la recherche d'un comportement suspect.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la documentation officielle d'OpenClaw et dans les bases de données de vulnérabilités telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.