Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.17
2026.2.17
La vulnérabilité CVE-2026-33572 affecte OpenClaw et concerne la création de fichiers de transcript avec des permissions trop larges. Cela permet à des utilisateurs locaux de lire le contenu de ces fichiers, potentiellement exposant des informations sensibles. Les versions affectées sont comprises entre 0 et 2026.2.17. La faille est corrigée dans la version 2026.2.17.
La vulnérabilité CVE-2026-33572 dans OpenClaw affecte les versions antérieures à 2026.2.17. OpenClaw, lors de la création de nouveaux fichiers de transcription de session au format JSONL, attribuait des permissions par défaut trop larges. Sur les systèmes multi-utilisateurs, d'autres utilisateurs locaux ou processus pourraient lire le contenu de ces transcriptions, ce qui pourrait exposer des informations sensibles, y compris des secrets qui pourraient apparaître dans la sortie des outils utilisés. Le risque est particulièrement élevé dans les environnements partagés où la confidentialité des données de session est essentielle.
Un attaquant local ayant accès au système pourrait exploiter cette vulnérabilité pour lire les fichiers de transcription de session d'autres utilisateurs. Cela pourrait leur permettre d'obtenir des informations confidentielles, telles que des mots de passe, des clés API ou d'autres secrets qui ont été utilisés lors des sessions OpenClaw. L'exploitation est plus probable dans les environnements multi-utilisateurs où les utilisateurs partagent le même système ou ont accès à des fichiers dans des emplacements partagés.
This vulnerability primarily affects developers and organizations using openclaw in multi-user environments, particularly those where sensitive data might be present in tool output within openclaw sessions. Shared hosting environments where multiple users share the same server are also at increased risk.
• nodejs / server:
find /path/to/openclaw/session_store -perm -002 -type f• nodejs / supply-chain:
npm ls openclaw• generic web: Check file permissions on the openclaw session store directory.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Pour atténuer ce risque, il est recommandé de mettre à jour OpenClaw vers la version 2026.2.17 ou ultérieure. Cette version corrige la vulnérabilité en restreignant les permissions des fichiers de transcription de session, garantissant que seul l'utilisateur propriétaire y a accès. De plus, examinez les politiques de sécurité de votre système pour vous assurer que les fichiers de transcription sont stockés dans des emplacements sécurisés et gérés de manière appropriée. Envisagez de mettre en œuvre des contrôles d'accès plus stricts si la confidentialité des données de session est une préoccupation majeure.
Mettez à jour OpenClaw vers la version 2026.2.17 ou ultérieure. Cette version corrige les permissions de fichiers insuffisantes dans les fichiers de transcription de session, empêchant les utilisateurs locaux non autorisés de lire le contenu des transcriptions.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenClaw est un outil pour le développement de jeux de rôle sur table. Cette vulnérabilité affecte la façon dont OpenClaw gère les transcriptions de session.
Si vous utilisez une version d'OpenClaw antérieure à 2026.2.17, vous êtes probablement affecté.
Mettez à jour OpenClaw immédiatement vers la dernière version. Examinez les fichiers de transcription de session à la recherche de signes d'accès non autorisé. Envisagez de modifier les mots de passe et les clés API qui pourraient avoir été compromis.
Si vous ne pouvez pas mettre à jour immédiatement, vous pouvez essayer de restreindre manuellement les permissions des fichiers de transcription de session afin que seul l'utilisateur propriétaire y ait accès. Cependant, cela nécessite une expertise technique et peut ne pas être une solution complète.
Consultez la page CVE-2026-33572 sur la base de données des vulnérabilités nationales (NVD) pour plus de détails : [https://nvd.nist.gov/vuln/detail/CVE-2026-33572](https://nvd.nist.gov/vuln/detail/CVE-2026-33572)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.