Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.11
2026.3.11
La vulnérabilité CVE-2026-32978 dans OpenClaw est une faille d'intégrité d'approbation. Elle affecte les scripts runners comme tsx et jiti. L'impact peut inclure l'exécution de code modifié. Les versions affectées sont de 0 à 2026.3.11. La version 2026.3.11 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-32978 dans openclaw permet à un attaquant d'exécuter du code malveillant dans un environnement déjà approuvé. Plus précisément, le système d'approbation system.run dans node-host ne lie pas correctement un opérande de fichier mutable lors de l'utilisation de script runners tels que tsx ou jiti. Cela signifie qu'un attaquant peut obtenir l'approbation pour une commande de script runner apparemment bénigne, réécrire le script sur le disque et exécuter ensuite le code modifié dans le contexte d'exécution déjà approuvé. Le risque est particulièrement élevé dans les environnements où system.run est utilisé pour garantir l'intégrité des scripts, car ce mécanisme de sécurité est compromis.
L'exploitation de cette vulnérabilité nécessite un accès au système sur lequel openclaw est en cours d'exécution et la capacité de modifier des fichiers sur le disque. Un attaquant pourrait exploiter cette vulnérabilité s'il peut obtenir l'approbation initiale pour un script runner bénin. Une fois approuvé, l'attaquant pourrait remplacer le script original par une version malveillante, qui serait ensuite exécutée avec les privilèges du contexte d'exécution approuvé. La complexité de l'exploitation dépend des mesures de sécurité existantes dans le système, telles que les permissions de fichier et les politiques de contrôle d'accès. La vulnérabilité est plus grave dans les environnements où system.run est considéré comme fiable pour l'exécution de scripts critiques.
Organizations heavily reliant on openclaw for Node.js host management, particularly those using system.run for automated scripting and deployments, are at significant risk. Environments with lax file access controls or shared hosting configurations where multiple users can potentially modify script files are especially vulnerable.
• nodejs / supply-chain:
Get-Process -Name openclaw | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openclaw*'} | Select-Object -ExpandProperty Actions• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='openclaw'" -Newest 10disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La solution à CVE-2026-32978 consiste à mettre à niveau vers la version 2026.3.11 ou supérieure de openclaw. Cette version corrige la défaillance de liaison de l'opérande de fichier mutable, garantissant que les scripts utilisés dans les commandes system.run sont ceux attendus et ne peuvent pas être modifiés par un attaquant. Il est recommandé d'appliquer cette mise à jour dès que possible, en particulier dans les environnements de production. De plus, examinez les politiques d'approbation de system.run pour vous assurer que les meilleures pratiques de sécurité sont utilisées et que les risques d'exécution de code non autorisé sont minimisés. La surveillance des journaux système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Mettez à jour OpenClaw vers la version 2026.3.11 ou ultérieure. Cette version corrige la vulnérabilité de contournement de l'approbation en validant correctement les opérandes de fichiers mutables pour tous les exécuteurs de script.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
openclaw est un outil pour gérer et exécuter des scripts dans les environnements Node.js.
Vérifiez la version de openclaw que vous utilisez. Si elle est antérieure à 2026.3.11, vous êtes vulnérable.
Tout code qui peut être exécuté par le script runner utilisé (par exemple, des commandes système, un accès aux fichiers, etc.).
Désactiver temporairement la fonction system.run ou restreindre les permissions des fichiers utilisés par les script runners peut atténuer le risque, mais ce n'est pas une solution idéale.
Consultez la documentation officielle de openclaw et les sources de sécurité pertinentes pour obtenir des informations à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.