Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.18
La vulnérabilité CVE-2026-3690 est un contournement d'authentification découvert dans OpenClaw. Cette faille permet à des attaquants distants de contourner les mécanismes d'authentification, compromettant potentiellement la sécurité des données et des fonctionnalités. Elle affecte spécifiquement les versions 2026.2.17–2026.2.17 d'OpenClaw. Un correctif est disponible.
La vulnérabilité CVE-2026-3690 dans OpenClaw permet à des attaquants distants de contourner l'authentification sans nécessiter d'identifiants. Ceci est dû à une implémentation incorrecte de la fonction d'authentification pour les points d'extrémité du canvas. Un attaquant peut exploiter cette faille pour accéder au système sans passer par le processus d'authentification normal, ce qui pourrait entraîner un accès non autorisé à des données sensibles ou une manipulation de la configuration du système. La gravité de cette vulnérabilité est classée à 7.4 selon le CVSS, indiquant un risque significatif. L'absence actuelle d'un correctif aggrave la situation, nécessitant des mesures préventives immédiates.
La vulnérabilité CVE-2026-3690 est exploitée en tirant parti d'une faille dans la logique d'authentification des points d'extrémité du canvas dans OpenClaw. L'attaquant n'a pas besoin d'identifiants valides pour accéder à ces fonctionnalités. L'exploitation implique probablement l'envoi de requêtes malveillantes conçues pour contourner les contrôles d'authentification. Le rapport original (ZDI-CAN-29311) indique que la faille réside dans l'implémentation de la fonction d'authentification, ce qui suggère que la vulnérabilité peut être exploitée en manipulant les paramètres d'entrée ou en exécutant des scripts spécifiques. L'absence d'une KEV (Kernel Exploit Verification) suggère que la vérification de l'exploitation dans un environnement contrôlé est en cours, mais la gravité du CVSS indique que l'exploitabilité est possible.
Organizations utilizing OpenClaw for any purpose, particularly those relying on its authentication mechanisms for access control, are at risk. This includes environments where OpenClaw is exposed to external networks or untrusted users. Legacy configurations or deployments without proper network segmentation are particularly vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.16% (percentile 37%)
CISA SSVC
Vecteur CVSS
Étant donné qu'il n'y a pas de correctif disponible pour CVE-2026-3690 dans OpenClaw, l'atténuation se concentre sur des mesures de sécurité complémentaires. Nous recommandons fortement d'isoler les installations OpenClaw affectées sur un réseau segmenté afin de limiter l'impact potentiel d'une exploitation. Une surveillance continue du système pour détecter toute activité suspecte est également essentielle. Envisagez de désactiver temporairement les fonctionnalités du canvas si cela est possible jusqu'à ce qu'un correctif officiel soit publié. Restez informé des mises à jour de sécurité OpenClaw et appliquez tout correctif dès qu'il est disponible. La mise en œuvre d'un pare-feu robuste et de règles d'accès strictes peut également contribuer à réduire le risque.
Actualice OpenClaw a la versión corregida. Revise la documentación oficial de OpenClaw o el repositorio de GitHub para obtener instrucciones específicas de actualización. Asegúrese de que la implementación de la autenticación se revise y fortalezca para prevenir futuros bypasses.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie qu'un attaquant peut accéder au système ou à certaines fonctionnalités sans avoir besoin d'un nom d'utilisateur et d'un mot de passe valides.
Étant donné qu'il n'y a pas de correctif, isolez votre système, surveillez l'activité et désactivez les fonctionnalités du canvas si possible. Restez informé des mises à jour de sécurité.
Bien qu'il n'y ait pas de KEV, le score CVSS de 7.4 suggère que la vulnérabilité est active et exploitable.
Il n'y a pas de date de publication estimée pour un correctif. Consultez le site Web d'OpenClaw pour obtenir des mises à jour.
C'est l'identifiant du rapport de vulnérabilité original soumis à Zero Day Initiative (ZDI).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.