Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.18
La vulnérabilité CVE-2026-3689 est une faille de traversal de chemin (Path Traversal) découverte dans OpenClaw, un logiciel pour Linux. Cette faille permet à un attaquant authentifié de divulguer des informations sensibles en manipulant les paramètres de chemin fournis à l'endpoint du canvas. Elle affecte les versions 2026.2.17 et antérieures. Une correction est disponible.
Un attaquant authentifié peut exploiter cette vulnérabilité pour accéder à des fichiers et répertoires auxquels il ne devrait pas avoir accès. En manipulant les paramètres de chemin, il peut contourner les mécanismes de sécurité et lire le contenu de fichiers sensibles, potentiellement contenant des informations confidentielles telles que des clés API, des mots de passe ou des données de configuration. L'impact est limité au contexte du compte de service sous lequel OpenClaw s'exécute, mais la divulgation d'informations sensibles peut compromettre la sécurité globale du système. Cette vulnérabilité est similaire à d'autres failles de traversal de chemin où une validation incorrecte des entrées utilisateur permet un accès non autorisé aux ressources du système de fichiers.
Cette vulnérabilité a été signalée par ZDI-CAN-29312. Sa probabilité d'exploitation est considérée comme modérée (CVSS 6.5). Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (traversal de chemin) la rend potentiellement exploitable. Elle a été rendue publique le 2026-04-11. Il n'y a pas d'entrée dans le KEV à ce jour.
Organizations deploying OpenClaw, particularly those with publicly accessible canvas gateway endpoints, are at risk. Shared hosting environments where multiple users share the same OpenClaw instance are also particularly vulnerable, as an attacker compromising one user's account could potentially exploit this vulnerability to access data belonging to other users.
• linux / server:
journalctl -u openclaw -g 'canvas gateway' | grep -i "path traversal"• linux / server:
lsof -p $(pidof openclaw) | grep /path/to/sensitive/file• generic web:
curl -I http://your-openclaw-server/canvas/path/../sensitive/file.txtdisclosure
Statut de l'Exploit
EPSS
0.28% (percentile 51%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenClaw vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en place. Il est crucial de renforcer la validation des entrées utilisateur pour l'endpoint du canvas, en s'assurant que les chemins d'accès sont correctement filtrés et normalisés. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Après la mise à jour, vérifiez l'intégrité du système et effectuez des tests de pénétration pour confirmer que la vulnérabilité a été corrigée.
Mettez à jour OpenClaw vers la version corrigée pour atténuer la vulnérabilité de traversée de répertoires. Vérifiez et renforcez la validation des chemins d'utilisateur dans le code source pour prévenir de futures attaques. Implémentez des contrôles d'accès stricts pour limiter l'accès aux fichiers sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-3689 is a vulnerability in OpenClaw versions 2026.2.17 and earlier that allows attackers to disclose sensitive information by manipulating file paths. It's classified as a Path Traversal vulnerability with a Medium severity rating.
If you are running OpenClaw version 2026.2.17 or earlier, you are potentially affected by this vulnerability. Check your OpenClaw version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of OpenClaw. Until a patch is available, implement temporary workarounds like restricting access and validating input parameters.
As of the current assessment, there are no confirmed reports of active exploitation. However, due to the nature of path traversal vulnerabilities, exploitation is possible if a public proof-of-concept is released.
Refer to the OpenClaw project's official website and security advisories for the latest information and updates regarding CVE-2026-3689.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.