Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.12
La vulnérabilité CVE-2026-32975 dans OpenClaw est une faille d'autorisation faible dans le mode allowlist Zalouser. Elle utilise les noms d'affichage de groupe au lieu des identifiants stables. L'impact peut inclure le routage de messages non autorisés. Les versions affectées sont de 0 à 2026.3.12. La version 2026.3.12 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-32975 affecte les versions d'OpenClaw antérieures à 2026.3.12. Cette vulnérabilité d'autorisation faible, présente dans le mode liste blanche de Zalouser, permet aux attaquants de contourner l'autorisation des canaux. Le problème réside dans le fait que le système compare les noms de groupes (qui peuvent changer) au lieu d'identifiants de groupe stables et uniques. Un attaquant peut ainsi créer des groupes portant des noms identiques à ceux des groupes autorisés dans la liste blanche, trompant le système et lui faisant acheminer des messages provenant de groupes non autorisés vers l'agent. La gravité de cette vulnérabilité est notée 9.8 sur l'échelle CVSS, ce qui indique un risque critique.
Un attaquant connaissant la configuration de la liste blanche de Zalouser peut exploiter cette vulnérabilité en créant des groupes portant des noms identiques à ceux figurant sur la liste blanche. L'attaquant pourrait alors envoyer des messages à partir de ces groupes usurpés, les faisant apparaître comme provenant de sources légitimes. Cela pourrait être utilisé pour l'usurpation d'identité, la diffusion de fausses informations ou même le contrôle non autorisé de systèmes. L'efficacité de l'attaque dépend de la capacité de l'attaquant à créer et à gérer des groupes au sein de la plateforme OpenClaw. L'absence d'une validation robuste des identifiants de groupe est la cause première de cette vulnérabilité.
Organizations utilizing OpenClaw, particularly those relying on the 'Zalouser allowlist mode' for channel authorization, are at risk. This includes deployments handling sensitive data or controlling critical infrastructure, as the bypass could lead to unauthorized access and potential compromise.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour OpenClaw vers la version 2026.3.12 ou ultérieure. Cette mise à jour corrige le problème en garantissant que le système utilise des identifiants de groupe stables au lieu de noms de groupe pour l'autorisation. Il est fortement recommandé d'appliquer cette mise à jour dès que possible afin d'atténuer le risque d'accès non autorisé et d'attaques potentielles. De plus, examinez la configuration de votre liste blanche Zalouser pour vous assurer qu'il n'y a pas de noms de groupes en double ou potentiellement confus. Surveillez les journaux d'OpenClaw à la recherche d'activités suspectes après la mise à jour pour confirmer que la vulnérabilité a été résolue.
Mettez à jour OpenClaw vers la version 2026.3.12 ou ultérieure. Cette version corrige la vulnérabilité d'autorisation faible en utilisant des identificateurs de groupe stables au lieu de noms d'affichage mutables dans la liste d'autorisation Zalouser.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Zalouser est un composant d'OpenClaw qui gère l'autorisation des canaux.
La version d'OpenClaw peut être trouvée dans les informations de l'application ou dans les journaux du système.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles qu'une surveillance plus stricte des journaux et la limitation des autorisations des utilisateurs.
Cette vulnérabilité n'affecte que les installations d'OpenClaw qui utilisent le mode liste blanche de Zalouser.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans les sources d'information sur la sécurité d'OpenClaw et dans les bases de données de vulnérabilités telles que le NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.