Plateforme
python
Composant
openclaw
Corrigé dans
2026.3.11
La vulnérabilité CVE-2026-32973 dans OpenClaw est un contournement de l'allowlist d'exécution. Elle exploite une mauvaise normalisation des motifs. L'impact peut inclure l'exécution de commandes non prévues. Les versions affectées sont de 0 à 2026.3.11. La version 2026.3.11 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-32973 dans OpenClaw, avec un score CVSS de 9.8, représente un risque critique. Elle est due à un défaut dans la fonction matchesExecAllowlistPattern qui ne normalise pas correctement les modèles, entraînant un contournement de la liste d'autorisation d'exécution (exec allowlist). Plus précisément, la fonction convertit en minuscules et utilise la correspondance de caractères génériques (glob matching) d'une manière qui entraîne une correspondance excessive sur les chemins POSIX. Les attaquants peuvent exploiter cela en utilisant le caractère générique '?' pour faire correspondre des segments de chemin de manière inattendue. Cela permet d'exécuter des commandes ou d'accéder à des fichiers qui ne sont pas censés être accessibles, compromettant la sécurité du système. La gravité du problème réside dans la facilité d'exploitation et l'impact potentiel sur la confidentialité, l'intégrité et la disponibilité du système.
La vulnérabilité est exploitée en tirant parti de la façon dont OpenClaw interprète les caractères génériques dans les chemins de fichiers. Le caractère générique '?' permet à un attaquant de faire correspondre n'importe quel caractère dans un segment de chemin. En raison d'une normalisation incorrecte (conversion en minuscules) et d'une logique de correspondance de caractères génériques, un attaquant peut construire un chemin qui correspond à un modèle de permission d'exécution prévu, mais qui pointe en réalité vers un fichier ou un répertoire différent, permettant l'exécution de commandes non autorisées. La vulnérabilité est particulièrement préoccupante dans les environnements où OpenClaw est utilisé pour exécuter du code fourni par l'utilisateur, car un attaquant pourrait injecter du code malveillant qui s'exécute avec les privilèges d'OpenClaw.
Organizations deploying OpenClaw for any purpose, particularly those using it in environments with untrusted input or where command execution is a core functionality, are at risk. This includes users relying on OpenClaw for data processing, scripting, or automation tasks where user-provided data influences command execution paths.
• python / server:
import os
import subprocess
def check_claw_version():
try:
result = subprocess.run(['openclaw', '--version'], capture_output=True, text=True, check=True)
version = result.stdout.strip()
if version and float(version.split('.')[2]) < 11:
print(f"OpenClaw version is vulnerable: {version}")
else:
print(f"OpenClaw version is patched: {version}")
except FileNotFoundError:
print("OpenClaw not found.")
except subprocess.CalledProcessError as e:
print(f"Error checking version: {e}")
check_claw_version()• generic web: Examine OpenClaw logs for unusual command execution attempts, especially those containing wildcard characters or unexpected path segments.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 23%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-32973 consiste à mettre à jour OpenClaw vers la version 2026.3.11 ou ultérieure. Cette version corrige la façon dont matchesExecAllowlistPattern gère les modèles de correspondance, empêchant la correspondance excessive des chemins. Pendant l'application de la mise à jour, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction des autorisations d'exécution aux utilisateurs et processus nécessaires, et la surveillance du système à la recherche d'activités suspectes. Appliquer cette mise à jour rapidement est essentiel pour protéger les systèmes OpenClaw contre les attaques potentielles. Le non-respect de la mise à jour laisse le système vulnérable à l'exploitation.
Mettez à jour OpenClaw vers la version 2026.3.11 ou ultérieure. Cela corrige la vulnérabilité de contournement de la liste d'autorisation d'exécution due à la normalisation incorrecte des modèles avec la correspondance de caractères génériques dans les chemins POSIX.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenClaw est un moteur de simulation open source pour les jeux de rôle sur ordinateur (CRPG).
Le score CVSS de 9.8 indique une vulnérabilité critique qui est facile à exploiter et peut avoir un impact significatif sur la sécurité du système.
Pendant ce temps, limitez les autorisations d'exécution et surveillez le système à la recherche d'activités suspectes.
La mise à jour vers la version 2026.3.11 ou ultérieure est la solution recommandée. Il n'existe pas de solutions de contournement viables.
Consultez la documentation officielle d'OpenClaw et les avis de sécurité relatifs au CVE-2026-32973.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.