NextGuard
ब्लॉग पर वापस जाएं
CVSS 9.9CVE-2026-28363CVE-2026-28472CVE-2026-32030

OpenClaw में कई कमजोरियों को ठीक किया गया

OpenClaw में गंभीर कमजोरियों को ठीक किया गया। इसमें कमांड इंजेक्शन, ऑथ बाईपास और फ़ाइल प्रकटीकरण शामिल हैं। अब नवीनतम संस्करणों में अपडेट करें!

प्रकाशित

OpenClaw, एक nodejs घटक में कई कमजोरियों की खोज की गई है, जिसमें कमांड इंजेक्शन, प्रमाणीकरण बाईपास और संवेदनशील फ़ाइल प्रकटीकरण शामिल हैं। ये कमजोरियां हमलावरों को मनमाना कोड निष्पादित करने, सुरक्षा जांच को बायपास करने या संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती हैं। उपयोगकर्ताओं को इन जोखिमों को कम करने के लिए OpenClaw के नवीनतम संस्करणों में अपडेट करने की सलाह दी जाती है।

ये कमजोरियां गंभीरता में भिन्न हैं, जिनमें से सबसे गंभीर संभावित रूप से रिमोट कोड निष्पादन की ओर ले जा सकती है।

Openclaw क्या है?

Openclaw nodejs के लिए एक घटक है, जिसका उपयोग संभवतः विभिन्न अनुप्रयोगों में विशिष्ट कार्यक्षमताएं प्रदान करने के लिए किया जाता है। संभावित रूप से संवेदनशील कार्यों को संभालने में अपनी भूमिका के कारण, Openclaw में कमजोरियों का उन अनुप्रयोगों के लिए महत्वपूर्ण सुरक्षा निहितार्थ हो सकता है जो इस पर निर्भर करते हैं। अधिक जानने के लिए, आप सभी openclaw CVE खोज सकते हैं

CVE-2026-28363: GNU लॉन्ग-ऑप्शन एब्रीविएशन्स के माध्यम से OpenClaw वैलिडेशन बाईपास

CVSS9.9
प्रभावित संस्करण2026.2.23 से पहले के OpenClaw संस्करण प्रभावित होते हैं जब allowlist मोड का उपयोग करते हैं और कमांड-लाइन विकल्पों के लिए सटीक स्ट्रिंग मिलान पर निर्भर करते हैं।

गंभीर: अनधिकृत कमांड के निष्पादन की अनुमति देता है।

0.036 का EPSS स्कोर शोषण की कम संभावना को इंगित करता है।

सॉर्ट के लिए OpenClaw के tools.exec.safeBins वैलिडेशन को allowlist मोड में GNU लॉन्ग-ऑप्शन एब्रीविएशन्स के माध्यम से बायपास किया जा सकता है। इसने अनपेक्षित निष्पादन पथों की अनुमति दी जिन्हें अनुमोदन की आवश्यकता होनी चाहिए थी।

OpenClaw में CVE-2026-28363 को कैसे ठीक करें

तुरंत पैच करें
  1. 1.OpenClaw को संस्करण 2026.2.23 या बाद के संस्करण में अपडेट करें।
OpenClaw अपडेट करें
npm update openclaw

समाधान: allowlist मोड कॉन्फ़िगरेशन में GNU लॉन्ग-ऑप्शन एब्रीविएशन्स का उपयोग करने से बचें।

NextGuard स्वचालित रूप से CVE-2026-28363 को चिह्नित करता है यदि OpenClaw आपकी किसी भी निगरानी वाली परियोजनाओं में दिखाई देता है - किसी मैनुअल लुकअप की आवश्यकता नहीं है।

CVE-2026-28472: OpenClaw गेटवे कनेक्ट डिवाइस आइडेंटिटी चेक बाईपास

CVSS9.8
प्रभावित संस्करणOpenClaw संस्करण 2026.2.1 और पहले के संस्करण उन तैनाती में प्रभावित होते हैं जहां गेटवे WebSocket पहुंच योग्य है और साझा रहस्य को मान्य किए बिना Tailscale के माध्यम से कनेक्शन को अधिकृत किया जा सकता है।

गंभीर: गेटवे तक अनधिकृत पहुंच की अनुमति देता है।

0.054 का EPSS स्कोर शोषण की कम संभावना का सुझाव देता है।

OpenClaw में गेटवे WebSocket कनेक्ट हैंडशेक डिवाइस आइडेंटिटी चेक को छोड़ सकता है यदि एक auth.token मौजूद था लेकिन अभी तक मान्य नहीं किया गया है। इसने ग्राहकों को उचित डिवाइस आइडेंटिटी सत्यापन के बिना कनेक्ट करने की अनुमति दी।

OpenClaw में CVE-2026-28472 को कैसे ठीक करें

तुरंत पैच करें
  1. 1.OpenClaw को संस्करण 2026.2.2 या बाद के संस्करण में अपडेट करें।
OpenClaw अपडेट करें
npm update openclaw

समाधान: सुनिश्चित करें कि गेटवे WebSocket केवल एक विश्वसनीय नेटवर्क से और विश्वसनीय उपयोगकर्ताओं द्वारा ही पहुंच योग्य है। Tailscale Serve का उपयोग करते समय Tailnet उपयोगकर्ताओं/ACL को प्रतिबंधित करें।

CVE-2026-32030: stageSandboxMedia के माध्यम से OpenClaw संवेदनशील फ़ाइल प्रकटीकरण

CVSS7.5
प्रभावित संस्करणOpenClaw संस्करण 2026.2.17 तक और सहित प्रभावित होते हैं जब iMessage अटैचमेंट सक्षम होते हैं, रिमोट अटैचमेंट मोड सक्रिय होता है, और एक हमलावर अटैचमेंट पाथ मेटाडेटा को इंजेक्ट/छेड़छाड़ कर सकता है।

उच्च: संवेदनशील फ़ाइलों के प्रकटीकरण की अनुमति देता है।

0.068 का EPSS स्कोर शोषण की कम संभावना को इंगित करता है।

OpenClaw के `stageSandboxMedia` फ़ंक्शन ने मनमानी एब्सोल्यूट पाथ को स्वीकार किया जब iMessage रिमोट अटैचमेंट फ़ेचिंग सक्षम किया गया था, जिससे संवेदनशील फ़ाइल प्रकटीकरण हुआ। एक हमलावर रिमोट होस्ट पर OpenClaw प्रक्रिया द्वारा पठनीय फ़ाइलों को प्रकट करने के लिए इनबाउंड अटैचमेंट पाथ मेटाडेटा को प्रभावित कर सकता है।

OpenClaw में CVE-2026-32030 को कैसे ठीक करें

7 दिनों में पैच करें
  1. 1.OpenClaw को संस्करण 2026.2.19 या बाद के संस्करण में अपडेट करें।
  2. 2.यदि रिमोट अटैचमेंट की आवश्यकता नहीं है, तो iMessage अटैचमेंट इंजेक्शन को अक्षम करें।
  3. 3.रिमोट होस्ट पर कम से कम विशेषाधिकार के तहत OpenClaw चलाएं।
OpenClaw अपडेट करें
npm update openclaw

समाधान: यदि रिमोट अटैचमेंट की आवश्यकता नहीं है तो iMessage अटैचमेंट इंजेक्शन को अक्षम करें। रिमोट होस्ट पर कम से कम विशेषाधिकार के तहत OpenClaw चलाएं।

CVE-2026-32056: OpenClaw शेल स्टार्टअप Env इंजेक्शन सिस्टम.रन Allowlist को बायपास करता है

CVSS7.5
प्रभावित संस्करणOpenClaw संस्करण 2026.2.21-2 और पहले के संस्करण प्रभावित होते हैं। इस भेद्यता का फायदा उठाया जा सकता है यदि कोई हमलावर HOME या ZDOTDIR पर्यावरण चर को नियंत्रित कर सकता है।

उच्च: रिमोट कोड निष्पादन की अनुमति देता है।

0.143 का EPSS स्कोर शोषण की मध्यम संभावना का सुझाव देता है।

OpenClaw के `system.run` पर्यावरण सैनिटाइजेशन ने शेल-स्टार्टअप पर्यावरण ओवरराइड (HOME, ZDOTDIR) की अनुमति दी, जिससे कमांड इंजेक्शन हुआ। हमलावर allowlist-मूल्यांकित कमांड बॉडी से पहले शेल स्टार्टअप फ़ाइलों को नियंत्रित करके मनमाना कोड निष्पादित कर सकते हैं।

OpenClaw में CVE-2026-32056 को कैसे ठीक करें

24 घंटे के भीतर पैच करें
  1. 1.OpenClaw को संस्करण 2026.2.22 या बाद के संस्करण में अपडेट करें।
OpenClaw अपडेट करें
npm update openclaw

nodejs कमजोरियों से आगे रहें

अपनी nodejs परियोजनाओं में कमजोरियों का सक्रिय रूप से पता लगाएं और उन्हें ठीक करें। अपनी nodejs निर्भरताओं की निगरानी के लिए NextGuard का उपयोग करें और नए CVE पर अलर्ट प्राप्त करें।

तुलना योजनाएँ

अक्सर पूछे जाने वाले प्रश्न

हाल के OpenClaw रिलीज़ में कई कमजोरियों को संबोधित किया गया है। अपने अनुप्रयोगों की सुरक्षा सुनिश्चित करने के लिए नवीनतम संस्करणों में अपडेट करना महत्वपूर्ण है। सभी nodejs कमजोरियों को देखें

संबंधित विषय

nodejsकमजोरीसुरक्षाopenclawपैच