Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.12
La vulnérabilité CVE-2026-33575 dans OpenClaw expose les identifiants de passerelle partagés dans les codes de configuration. Les attaquants peuvent récupérer et réutiliser ces identifiants. Les versions affectées sont de 0 à 2026.3.12. La correction est incluse dans la version 2026.3.12.
La vulnérabilité CVE-2026-33575 dans OpenClaw expose un risque significatif lié à la gestion des identifiants. Avant la version 2026.3.12, OpenClaw intègre des identifiants de passerelle partagée à long terme directement dans les codes de configuration générés par le point de terminaison /pair et la commande OpenClaw qr. Ces codes, destinés à une utilisation unique lors du processus d'appairage, sont en réalité persistants. Un attaquant ayant accès à ces codes, par exemple via des historiques de chat, des journaux système, des captures d'écran ou toute autre fuite, peut récupérer et réutiliser l'identifiant de passerelle partagée en dehors du flux d'appairage prévu. Cela permettrait à l'attaquant de contrôler potentiellement des appareils OpenClaw, d'accéder à des données sensibles stockées ou traitées par ces appareils, et de perturber leur fonctionnement. Le rayon d'impact est limité aux appareils OpenClaw affectés et aux données auxquelles ils ont accès, mais la réutilisation de l'identifiant permettrait de contourner les mécanismes de sécurité habituels et d'établir une connexion non autorisée. La compromission d'un seul appareil pourrait potentiellement servir de point d'entrée pour accéder à d'autres appareils connectés au même réseau ou système.
À ce jour, aucune exploitation publique de la vulnérabilité CVE-2026-33575 n'a été signalée (KEV : aucune). Bien que le risque soit présent en raison de la persistance des identifiants, l'exploitation nécessite l'accès à des codes de configuration divulgués, ce qui constitue un obstacle supplémentaire. Cependant, la gravité élevée (CVSS 7.5) indique que l'impact potentiel est significatif si un attaquant parvient à obtenir ces codes. Il est donc fortement recommandé de prendre des mesures correctives rapidement, en particulier si des codes de configuration ont été partagés dans des environnements non sécurisés. L'absence de preuve d'exploitation actuelle ne doit pas minimiser l'importance de cette vulnérabilité.
OpenClaw deployments, particularly those that utilize chat platforms or other communication channels where pairing codes might be inadvertently shared, are at risk. Organizations that have not implemented robust log management practices and access controls are also more vulnerable. Any environment where screenshots or logs containing pairing codes are stored or transmitted are potentially exposed.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 14%)
CISA SSVC
Vecteur CVSS
La solution principale pour corriger la vulnérabilité CVE-2026-33575 est de mettre à jour OpenClaw vers la version 2026.3.12 ou ultérieure. Cette version corrige le problème en supprimant l'intégration des identifiants de passerelle partagée à long terme dans les codes de configuration. En l'absence de possibilité de mise à jour immédiate, il est fortement recommandé de vérifier et de supprimer tous les codes de configuration potentiellement compromis des historiques de chat, des journaux et des captures d'écran. Il est également crucial de limiter l'accès aux journaux système et aux historiques de chat pour empêcher toute fuite future de ces informations sensibles. Après la mise à jour, il est conseillé de réinitialiser les appairages existants pour s'assurer que les nouveaux identifiants sont générés correctement. La vérification de l'intégrité des fichiers après la mise à jour est une bonne pratique pour confirmer que la version corrigée a été installée avec succès.
Mettez à jour OpenClaw vers la version 2026.3.12 ou ultérieure. Cela évitera l'exposition de crédentiels de longue durée dans les codes de configuration d'appairage.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33575 is a high-severity vulnerability in OpenClaw versions 0.0 - 2026.3.12 where pairing setup codes embed long-lived gateway credentials, allowing attackers to reuse them.
If you are running OpenClaw versions 0.0 to 2026.3.12, you are potentially affected. Check your version and upgrade immediately.
Upgrade OpenClaw to version 2026.3.12 or later to resolve the vulnerability. Consider disabling the /pair endpoint as a temporary measure.
There is currently no confirmed active exploitation, but the vulnerability's nature suggests a potential for future attacks.
Refer to the official OpenClaw security advisory for detailed information and updates: [Replace with actual advisory URL when available]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.