Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.25
2026.3.28
Une vulnérabilité de type SSRF (Server-Side Request Forgery) a été découverte dans le module Node.js openclaw. Cette faille permet à un attaquant d'effectuer des requêtes vers des ressources internes non destinées à être accessibles depuis l'extérieur. Elle affecte les versions du module openclaw inférieures ou égales à 2026.3.24 et a été corrigée dans la version 2026.3.25.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les restrictions de sécurité et d'accéder à des ressources internes qui ne seraient normalement pas accessibles depuis l'extérieur du réseau. Cela pourrait inclure l'accès à des fichiers de configuration sensibles, des bases de données internes ou d'autres services internes. Un attaquant pourrait également utiliser cette vulnérabilité pour lancer des attaques contre d'autres systèmes internes en utilisant le serveur vulnérable comme pivot. Le risque est exacerbé par le fait que cette vulnérabilité est une correction incomplète d'une vulnérabilité précédente (CVE-2026-28476), suggérant que d'autres extensions de canaux pourraient également être affectées.
Cette vulnérabilité a été rendue publique le 2026-03-29. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation. La vulnérabilité est liée à une correction incomplète d'une vulnérabilité précédente, ce qui pourrait indiquer que d'autres systèmes utilisant openclaw sont également à risque.
Applications utilizing the openclaw Node.js package in their backend infrastructure are at risk. This includes projects relying on openclaw for channel extension functionality, particularly those with configurations allowing for flexible base URL settings. Shared hosting environments where openclaw is installed and configured by the hosting provider are also potentially vulnerable.
• nodejs / server:
npm list openclawThis command will list installed versions of openclaw. Check if the version is <= 2026.3.24. • nodejs / server:
grep -r 'fetchWithSsrFGuard' ./node_modules/openclaw/Search for the fetchWithSsrFGuard function within the openclaw module. Its presence indicates the fix is applied.
• generic web:
Review application logs for unusual outbound requests originating from the server, especially those targeting internal IP addresses or sensitive internal endpoints.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
La mitigation principale consiste à mettre à jour le module openclaw vers la version 2026.3.28 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire pourrait consister à configurer un pare-feu d'application web (WAF) pour bloquer les requêtes sortantes vers des domaines non autorisés. Il est également recommandé de revoir la configuration des extensions de canaux pour s'assurer qu'elles n'utilisent pas de bases d'URL non sécurisées. Après la mise à jour, vérifiez que la fonctionnalité des extensions de canaux fonctionne comme prévu et qu'il n'y a pas de nouvelles vulnérabilités introduites.
Mettez à jour OpenClaw à la version 2026.3.25 ou supérieure pour atténuer la vulnérabilité de falsification de requêtes côté serveur (SSRF). Cette mise à jour corrige les appels fetch() non protégés dans les extensions de canal, empêchant l'accès non autorisé à des ressources restreintes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35629 is a HIGH severity Server-Side Request Forgery (SSRF) vulnerability in the openclaw Node.js package, allowing attackers to access internal resources.
Yes, if you are using openclaw versions 2026.3.24 or earlier, you are affected by this SSRF vulnerability.
Upgrade openclaw to version 2026.3.28 or later. Consider WAF rules to restrict outbound requests as a temporary workaround.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is being actively investigated.
Refer to the openclaw project's repository and associated security advisories for the latest information: [https://github.com/openclaw/openclaw](https://github.com/openclaw/openclaw)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.