Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.11
La vulnérabilité CVE-2026-33573 dans OpenClaw permet le contournement de l'autorisation via l'agent RPC. Les opérateurs authentifiés avec la permission operator.write peuvent outrepasser les limites de l'espace de travail. Les versions affectées sont de 0 à 2026.3.11. La correction est disponible dans la version 2026.3.11.
La vulnérabilité CVE-2026-33573 dans OpenClaw, avec un score CVSS de 8.8, représente un risque important pour les utilisateurs. Elle permet à des opérateurs authentifiés disposant des permissions 'operator.write' de contourner les limites de l'espace de travail. Un attaquant peut manipuler les valeurs 'spawnedBy' et 'workspaceDir' dans les appels RPC vers l'agent de la passerelle, lui permettant d'exécuter des opérations arbitraires sur des fichiers et des commandes à partir de n'importe quel répertoire accessible par le processus. Cela pourrait entraîner l'exécution de code malveillant, le vol de données sensibles ou même la compromission totale du système. La gravité de la vulnérabilité réside dans la facilité avec laquelle un opérateur disposant de privilèges limités peut escalader ses permissions et compromettre la sécurité de l'environnement OpenClaw.
Cette vulnérabilité est exploitée par la manipulation des paramètres 'spawnedBy' et 'workspaceDir' dans les appels RPC vers l'agent de la passerelle. Un opérateur authentifié disposant des permissions nécessaires peut envoyer une requête malveillante qui instruira le système à exécuter des commandes ou à accéder à des fichiers en dehors de l'espace de travail configuré. L'absence de validation appropriée de ces paramètres permet à l'attaquant de contourner les restrictions de sécurité. Le succès de l'exploitation dépend de la capacité de l'attaquant à obtenir des informations d'identification valides et à envoyer la requête malveillante sans être détecté. La complexité de l'exploitation est relativement faible, ce qui augmente le risque qu'elle soit utilisée par des acteurs malveillants.
Organizations utilizing OpenClaw for automated workflows, particularly those with loosely configured operator permissions or shared hosting environments, are at heightened risk. Legacy OpenClaw deployments and configurations that deviate from best practices are also vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-33573 est de mettre à niveau OpenClaw vers la version 2026.3.11 ou ultérieure. Cette version inclut une correction qui résout la vulnérabilité de contournement d'autorisation. De plus, il est recommandé de revoir et de renforcer les politiques de contrôle d'accès pour s'assurer que les permissions 'operator.write' ne sont accordées qu'aux utilisateurs de confiance et ayant un besoin justifié. Surveiller l'activité de l'agent de la passerelle à la recherche de schémas suspects peut également aider à détecter et à prévenir les attaques potentielles. La mise en œuvre d'une stratégie de défense en profondeur, comprenant des pare-feu et des systèmes de détection d'intrusion, peut fournir une couche de protection supplémentaire.
Mettez à jour OpenClaw vers la version 2026.3.11 ou ultérieure. Cette version corrige la vulnérabilité de contournement de l'autorisation dans l'agent RPC de la passerelle, empêchant les opérateurs de contourner les limites de l'espace de travail.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenClaw est une plateforme pour exécuter et gérer des charges de travail de calcul haute performance.
Un score CVSS de 8.8 indique une vulnérabilité de haute gravité, avec un risque important d'exploitation.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de restreindre l'accès aux permissions 'operator.write' et de surveiller l'activité de l'agent de la passerelle.
Oui, toutes les versions antérieures à 2026.3.11 sont vulnérables.
Consultez la documentation officielle d'OpenClaw et les sources de sécurité de l'industrie pour plus de détails.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.