Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.11
La vulnérabilité CVE-2026-32922 dans OpenClaw est une faille d'escalade de privilèges. Elle permet aux attaquants d'obtenir des jetons avec des scopes plus larges. L'impact peut inclure l'exécution de code à distance ou l'accès non autorisé. Les versions affectées sont de 0 à 2026.3.11. La version 2026.3.11 corrige cette vulnérabilité.
CVE-2026-32922 affecte OpenClaw versions antérieures à 2026.3.11, présentant une vulnérabilité d'escalade de privilèges au sein du composant device.token.rotate. Cette faille permet aux attaquants disposant de la portée operator.pairing de générer des jetons avec des portées plus larges que celles autorisées, car elle ne contraint pas les nouvelles portées générées au jeu de portées actuel de l'appelant. Cela pourrait entraîner l'acquisition de jetons operator.admin pour les appareils appariés, permettant potentiellement l'exécution de code à distance sur les nœuds connectés via system.run ou un accès non autorisé en tant que gateway-admin. La gravité de cette vulnérabilité est classée comme élevée (CVSS 9.9), ce qui indique un risque important pour les systèmes affectés.
Un attaquant disposant d'un accès limité, mais possédant la portée operator.pairing, peut exploiter cette vulnérabilité pour obtenir des jetons avec des privilèges élevés. Cela pourrait être réalisé en manipulant la logique de rotation des jetons, permettant la création de jetons operator.admin. Une fois que l'attaquant dispose d'un jeton operator.admin, il peut exécuter des commandes arbitraires sur les nœuds connectés ou accéder à la configuration de la passerelle avec des privilèges d'administrateur, compromettant la sécurité du système. L'absence de validation appropriée des portées lors de l'émission de jetons est la cause première de cette vulnérabilité.
Organizations utilizing OpenClaw for managing distributed systems, particularly those relying on token-based authentication and authorization, are at risk. Environments with legacy configurations or those that have not implemented robust token scope validation are especially vulnerable. Any deployment of OpenClaw versions 0 through 2026.3.11 should be considered at immediate risk.
disclosure
Statut de l'Exploit
EPSS
0.24% (percentile 47%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2026-32922 consiste à mettre à niveau OpenClaw vers la version 2026.3.11 ou ultérieure. Cette mise à jour corrige la faille dans device.token.rotate qui permet l'escalade de privilèges. Il est recommandé d'appliquer cette mise à niveau dès que possible pour atténuer le risque d'exploitation. Entre-temps, examinez et auditez soigneusement les autorisations des jetons existants et limitez l'accès aux fonctions sensibles telles que system.run. La surveillance des journaux système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Mettez à jour OpenClaw vers la version 2026.3.11 ou ultérieure. Cette version corrige la vulnérabilité d'escalade de privilèges dans la fonction device.token.rotate en validant correctement les champs d'application des jetons nouvellement créés.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Ce sont des portées d'autorisation au sein d'OpenClaw. 'operator.pairing' permet des actions liées à l'appariement des appareils, tandis que 'operator.admin' accorde un contrôle administratif complet sur le système.
Vérifiez la version d'OpenClaw que vous utilisez. Si elle est antérieure à 2026.3.11, vous êtes affecté. Vous pouvez vérifier la version dans la documentation d'OpenClaw ou via l'interface d'administration.
Isolez immédiatement le système affecté du réseau. Effectuez un audit de sécurité complet et envisagez de restaurer à partir d'une sauvegarde propre.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. Cependant, la surveillance des journaux système à la recherche d'activités suspectes, telles que l'exécution de commandes inattendues, peut aider à identifier les attaques potentielles.
Vous pouvez trouver plus d'informations dans la documentation d'OpenClaw et dans les bases de données de vulnérabilités, telles que le National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.