Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.12
2026.3.12
La vulnérabilité CVE-2026-32920 affecte OpenClaw, un outil de développement. Elle permet l'exécution arbitraire de code si un utilisateur ouvre ou exécute OpenClaw dans un dépôt non fiable. Les versions concernées sont celles antérieures ou égales à 2026.3.11. Une correction a été déployée dans la version 2026.3.12.
Cette vulnérabilité permet à un attaquant d'injecter du code malveillant dans un dépôt OpenClaw. Lorsque l'utilisateur clone ou ouvre ce dépôt, OpenClaw chargera et exécutera automatiquement le plugin malveillant. L'exécution se fera avec les privilèges de l'utilisateur OpenClaw, ce qui pourrait permettre à l'attaquant de compromettre le système, d'accéder à des données sensibles ou d'installer des logiciels malveillants. Le risque est particulièrement élevé dans les environnements de développement où les utilisateurs travaillent fréquemment avec des dépôts tiers.
Cette vulnérabilité a été automatiquement découverte et est documentée sur le site NVD. Le score EPSS n'est pas encore disponible. Il n'y a pas de Proof of Concept (PoC) public connu à ce jour. La publication de la CVE a eu lieu le 2026-03-13.
Developers and users of OpenClaw who routinely clone repositories from untrusted sources are at the highest risk. This includes those working in environments where automated build processes or continuous integration pipelines pull code from external sources without adequate security checks. Shared hosting environments where multiple users have access to the same repository are also particularly vulnerable.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm ls openclaw --depth=0• generic web: Check for the existence of .openclaw/extensions/ directories in cloned repositories, especially those from untrusted sources.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.3.12 ou supérieure. En attendant la mise à jour, il est fortement recommandé d'éviter d'ouvrir ou d'exécuter OpenClaw dans des dépôts non fiables. Si la mise à jour n'est pas immédiatement possible, examinez attentivement le contenu des dépôts avant de les ouvrir dans OpenClaw. Il n'existe pas de règles WAF ou de configurations spécifiques pour atténuer directement cette vulnérabilité, car elle repose sur le chargement de plugins locaux. La vigilance et la gestion des accès aux dépôts sont essentielles.
Mettez à jour OpenClaw à la version 2026.3.12 ou ultérieure. Cette version corrige la vulnérabilité qui permet l'exécution de code arbitraire par le chargement automatique de plugins non vérifiés.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32920 is a Remote Code Execution vulnerability in OpenClaw versions up to 2026.3.11, allowing malicious plugins to execute when OpenClaw runs from an untrusted repository.
Yes, if you are using OpenClaw version 2026.3.11 or earlier, you are vulnerable. Check your OpenClaw version and upgrade immediately.
Upgrade OpenClaw to version 2026.3.12 or later. This resolves the vulnerability by requiring explicit trust for workspace plugins.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is considered high severity and should be addressed promptly.
Refer to the OpenClaw project's official website or GitHub repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.