Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.28
2026.3.28
La vulnérabilité CVE-2026-33578 dans openclaw permet un contournement des restrictions. Lorsqu'une liste d'autorisation de groupe au niveau de la route est configurée, la résolution de la politique d'expéditeur passe silencieusement de allowlist à open. Les versions affectées sont celles inférieures ou égales à 2026.3.24. La version 2026.3.28 et les versions ultérieures contiennent le correctif.
La vulnérabilité CVE-2026-33578 dans OpenClaw permet à des utilisateurs non autorisés d'interagir avec le bot, même lorsque des restrictions au niveau de l'expéditeur ont été configurées. Plus précisément, si seule une liste blanche de groupe au niveau de la route était configurée (Google Chat ou Zalouser), le système a silencieusement dégradé la résolution de la politique de l'expéditeur de « liste blanche » à « ouverte ». Cela signifie que tout membre du groupe figurant sur la liste blanche pouvait communiquer avec le bot, en contournant l'intention de l'opérateur de limiter les interactions à des expéditeurs spécifiques.
Un attaquant pourrait exploiter cette vulnérabilité si le bot OpenClaw est configuré avec une liste blanche de groupe et que l'opérateur avait l'intention de restreindre l'accès à des expéditeurs spécifiques. L'attaquant, en tant que membre du groupe figurant sur la liste blanche, pourrait interagir avec le bot sans autorisation, compromettant potentiellement la sécurité ou l'intégrité des données traitées par le bot. L'exploitation est simple, ne nécessitant aucune action spéciale de la part de l'attaquant au-delà d'être membre du groupe autorisé.
Organizations using OpenClaw for Google Chat and Zalouser integrations, particularly those relying on route-level group allowlists for access control, are at risk. This includes businesses using OpenClaw for internal communication, automation, or data processing within these platforms. Shared hosting environments where multiple users share an OpenClaw instance are also at increased risk.
• nodejs: Monitor OpenClaw logs for unexpected bot interactions from users outside of expected sender groups. Use journalctl -u openclaw to filter for relevant events.
• generic web: Review Google Chat and Zalouser integration logs for unusual bot commands or data access originating from members of allowlisted groups. Examine access/error logs for patterns indicating unauthorized access.
• generic web: Check for unexpected bot activity via curl: curl -v <openclaw_endpoint> | grep -i 'unauthorized access'
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Pour atténuer cette vulnérabilité, mettez à jour OpenClaw vers la version 2026.3.28 ou ultérieure. Cette mise à jour corrige le comportement incorrect de la résolution de la politique de l'expéditeur, garantissant que les restrictions au niveau du groupe sont appliquées. Il est recommandé de revoir les configurations de vos listes blanches Google Chat et Zalouser pour confirmer que les politiques d'accès fonctionnent comme prévu après la mise à jour. Surveiller l'activité du bot après la mise à jour est également une bonne pratique pour identifier tout comportement inattendu.
Actualice OpenClaw a la versión 2026.3.28 o posterior. Esta actualización corrige la vulnerabilidad de omisión de la política del remitente en las extensiones de Google Chat y Zalouser.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenClaw est un framework pour créer des bots qui interagissent avec diverses plateformes de messagerie telles que Google Chat et Zalouser.
La mise à jour corrige une vulnérabilité de sécurité qui pourrait permettre à des utilisateurs non autorisés d'interagir avec le bot.
Vérifiez les configurations de vos listes blanches et surveillez l'activité du bot pour vous assurer qu'il fonctionne comme prévu.
Si vous utilisez une version d'OpenClaw antérieure à 2026.3.28 et que vous avez une liste blanche de groupe configurée, vous êtes probablement affecté.
Non, la mise à jour est la seule solution connue à cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.