Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.28
2026.3.28
La vulnérabilité CVE-2026-34504 est une faille de type SSRF (Server-Side Request Forgery) affectant OpenClaw. Cette faille permet à un relay fal malveillant d'effectuer des requêtes vers des URLs internes, potentiellement exposant des données sensibles. Les versions concernées sont celles inférieures ou égales à 2026.3.24. Une correction a été déployée dans la version 2026.3.28.
Cette vulnérabilité SSRF permet à un attaquant, s'il contrôle un relay fal compromis, de contourner les protections existantes et d'effectuer des requêtes vers des ressources internes au sein de l'infrastructure OpenClaw. Cela peut conduire à la divulgation de métadonnées sensibles, de réponses de services internes, ou même à l'accès à des informations confidentielles stockées sur des serveurs internes. L'attaquant pourrait exploiter cette faille pour collecter des informations sur l'architecture interne, identifier d'autres vulnérabilités potentielles, ou même lancer des attaques plus sophistiquées contre les services internes exposés. Bien que la CVSS score soit faible, l'impact potentiel sur la confidentialité des données internes est significatif.
La vulnérabilité CVE-2026-34504 a été publiée le 2026-04-01. Aucune information sur une exploitation active n'est disponible à ce jour. La probabilité d'exploitation est considérée comme faible, mais la nature de la vulnérabilité SSRF implique qu'elle pourrait être exploitée par des attaquants ayant accès au relay fal. Il est conseillé de surveiller les sources d'informations sur les vulnérabilités (NVD, CISA) pour toute nouvelle information concernant cette vulnérabilité.
Organizations utilizing OpenClaw for image generation and processing are at risk, particularly those with complex internal network architectures or those who have not implemented robust network segmentation. Environments where the fal relay has broad access to internal services are at higher risk. Shared hosting environments using OpenClaw should be especially vigilant.
• nodejs / server:
journalctl -u openclaw | grep -i "fal provider" -i "image fetch"• generic web:
curl -I <openclaw_endpoint> | grep -i "X-Powered-By"• generic web:
grep -r "fal: guard image fetches" /path/to/openclaw/source/codedisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.3.28 ou supérieure, qui inclut la correction de cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à configurer un pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes provenant du relay fal. Il est également recommandé de restreindre l'accès aux ressources internes et de mettre en place une surveillance accrue des requêtes effectuées par le relay fal. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en effectuant un test de pénétration ciblé sur le relay fal.
Mettez à jour OpenClaw à la version 2026.3.28 ou ultérieure. Cela corrige la vulnérabilité de Server-Side Request Forgery (SSRF) dans le fournisseur fal, empêchant les attaquants d'accéder à des URL internes via le téléchargement d'images.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34504 is a Server-Side Request Forgery (SSRF) vulnerability in OpenClaw's image generation provider, allowing unauthorized access to internal resources.
You are affected if you are using OpenClaw versions 2026.3.24 or earlier. Upgrade to 2026.3.28 or later to mitigate the vulnerability.
Upgrade OpenClaw to version 2026.3.28 or later. This includes the fix implemented in commit 80d1e8a11a.
Currently, there are no reports of active exploitation campaigns targeting CVE-2026-34504.
Refer to the OpenClaw project's official security advisories and release notes for details on CVE-2026-34504 and the corresponding fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.