Plateforme
javascript
Composant
openclaw
Corrigé dans
2026.2.22
La vulnérabilité CVE-2026-3691 concerne une divulgation d'informations dans le client OpenClaw. Cette faille permet à des attaquants distants de divulguer des informations d'identification stockées sur les installations affectées. L'exploitation de cette vulnérabilité nécessite l'interaction de l'utilisateur, qui doit initier un flux d'autorisation OAuth. Les versions concernées sont 2026.2.21.
Cette vulnérabilité permet à un attaquant de compromettre la sécurité des informations d'identification stockées au sein du client OpenClaw. L'attaquant doit inciter l'utilisateur cible à initier un flux d'autorisation OAuth. L'URL d'autorisation, mal configurée, expose alors des informations sensibles dans sa chaîne de requête. La divulgation de ces informations d'identification pourrait permettre à l'attaquant d'accéder aux comptes des utilisateurs, de voler des données sensibles ou de mener d'autres attaques. Le risque est accru si les informations d'identification divulguées permettent un accès à des systèmes critiques ou à des données sensibles.
La vulnérabilité CVE-2026-3691 a été signalée le 2026-04-11. Elle est référencée sous le nom ZDI-CAN-29381. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une interaction de l'utilisateur. Il n'y a pas d'indication d'exploitation active ou de campagnes ciblées connues à ce jour. Le NVD et CISA n'ont pas encore publié d'analyses spécifiques.
Users of the OpenClaw Client, particularly those relying on OAuth for authentication, are at risk. This includes individuals and organizations using the client for accessing services that require OAuth authorization. Systems with legacy configurations or those that haven't implemented robust OAuth security practices are particularly vulnerable.
• javascript / client:
// Check for presence of sensitive data in authorization URL query string
// Example: Check if 'verifier' parameter is present and contains a long, random string• generic web:
curl -v 'https://<openclaw_client_url>/oauth/authorize?response_type=code&client_id=<client_id>&redirect_uri=<redirect_uri>&verifier=<potential_verifier>' | grep 'verifier='disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le client OpenClaw vers une version corrigée dès que possible. En attendant la mise à jour, il est recommandé de désactiver temporairement les flux d'autorisation OAuth si cela est possible. Surveillez attentivement les journaux d'accès pour détecter toute activité suspecte liée aux flux d'autorisation. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance générale des requêtes OAuth peut aider à détecter les tentatives d'exploitation. Après la mise à jour, vérifiez que le flux d'autorisation OAuth fonctionne correctement et qu'aucune information sensible n'est exposée dans l'URL.
Actualice a la versión corregida para mitigar la divulgación de credenciales. La vulnerabilidad se debe a la exposición de datos sensibles en la cadena de consulta de la URL de autorización. Verifique y fortalezca la implementación de OAuth para evitar la exposición de información confidencial en las URL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de divulgation d'informations dans OpenClaw Client, permettant la divulgation d'informations d'identification stockées via l'URL d'autorisation OAuth.
Si vous utilisez OpenClaw Client version 2026.2.21, vous êtes potentiellement affecté. Vérifiez immédiatement votre version.
La solution est de mettre à jour OpenClaw Client vers la version corrigée dès que possible. En attendant, désactivez les flux OAuth si possible.
À ce jour, il n'y a pas d'indication d'exploitation active, mais la probabilité est considérée comme moyenne en raison de la nécessité d'une interaction de l'utilisateur.
Consultez la page CVE sur le site du NVD (National Vulnerability Database) pour plus d'informations et les mises à jour : [https://nvd.nist.gov/vuln/detail/CVE-2026-3691](https://nvd.nist.gov/vuln/detail/CVE-2026-3691)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.