प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.2.15
2026.1.25
2026.2.14
CVE-2026-26317 openclaw में एक क्रॉस-साइट स्क्रिप्टिंग (CSRF) भेद्यता है। यह भेद्यता ब्राउज़र-फेसिंग लोकल म्यूटेशन रूट को क्रॉस-ओरिजिन ब्राउज़र अनुरोधों को बिना उत्पत्ति/रेफरर सत्यापन के स्वीकार करने की अनुमति देती है, जिससे हमलावर अनधिकृत राज्य परिवर्तन कर सकते हैं। यह भेद्यता openclaw के संस्करणों को प्रभावित करती है जो 2026.2.14 से कम हैं। इस समस्या को ठीक करने के लिए, openclaw को 2026.2.14 या बाद के संस्करण में अपडेट करें।
CVE-2026-26317 के कारण, एक दुर्भावनापूर्ण वेबसाइट एक पीड़ित के स्थानीय OpenClaw ब्राउज़र नियंत्रण प्लेन के खिलाफ अनधिकृत राज्य परिवर्तन को ट्रिगर कर सकती है। इसमें टैब खोलना, ब्राउज़र को शुरू/बंद करना या स्टोरेज/कुकीज़ को बदलना शामिल हो सकता है। लूपबैक बाइंडिंग दूरस्थ जोखिम को कम करता है, लेकिन पीड़ित के ब्राउज़र संदर्भ में दुर्भावनापूर्ण मूल से ब्राउज़र-आरंभित अनुरोधों को रोकने से नहीं रोकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह ब्राउज़र के भीतर से शुरू किए गए हमलों की अनुमति देती है, जिससे सुरक्षा उपायों को बायपास करना आसान हो जाता है।
CVE-2026-26317 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन CSRF भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं। KEV (CISA Known Exploited Vulnerabilities) सूची पर इसकी स्थिति अभी तक निर्धारित नहीं की गई है। EPSS (Exploit Prediction Score System) स्कोर का मूल्यांकन किया जाना बाकी है। इस भेद्यता को सार्वजनिक रूप से 2026-02-18 को खुलासा किया गया था।
Organizations and developers utilizing OpenClaw for automated browser testing, web scraping, or other browser control tasks are at risk. Specifically, those using OpenClaw in environments where users frequently browse untrusted websites or are susceptible to social engineering attacks are particularly vulnerable. Shared hosting environments where multiple applications share the same Node.js instance could also amplify the risk.
• nodejs: Monitor for unusual browser activity originating from external websites. Use ps aux | grep openclaw to identify running OpenClaw processes. Examine Node.js application logs for suspicious requests to OpenClaw endpoints.
• generic web: Inspect browser developer tools network requests for unexpected POST requests to OpenClaw endpoints. Check browser extensions for potentially malicious code.
• generic web: Review CSP headers to ensure they are properly configured to restrict cross-origin requests.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVE-2026-26317 को कम करने के लिए, openclaw को 2026.2.14 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो उत्पत्ति/रेफरर सत्यापन को लागू करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करने पर विचार करें। इसके अतिरिक्त, सुनिश्चित करें कि OpenClaw ब्राउज़र नियंत्रण सेवा केवल लूपबैक इंटरफ़ेस पर बाध्य है और बाहरी नेटवर्क से दुर्गम है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी इस भेद्यता की पहचान करने और उसे कम करने में मदद कर सकते हैं। अपडेट के बाद, यह सत्यापित करें कि उत्पत्ति/रेफरर सत्यापन ठीक से काम कर रहा है और अनधिकृत अनुरोधों को अवरुद्ध कर रहा है।
OpenClaw को संस्करण 2026.2.14 या बाद के संस्करण में अपडेट करें। वैकल्पिक शमन के रूप में, ब्राउज़र कंट्रोल प्रमाणीकरण (टोकन/पासवर्ड) को सक्षम करें और इसे अक्षम प्रमाणीकरण के साथ चलाने से बचें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-26317 openclaw में एक क्रॉस-साइट स्क्रिप्टिंग (CSRF) भेद्यता है जो हमलावरों को अनधिकृत राज्य परिवर्तन करने की अनुमति देती है।
यदि आप openclaw के संस्करण 2026.2.14 से कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
openclaw को 2026.2.14 या बाद के संस्करण में अपडेट करें।
CVE-2026-26317 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन सार्वजनिक PoC मौजूद हैं।
आधिकारिक सलाहकार के लिए openclaw परियोजना की वेबसाइट या GitHub रिपॉजिटरी की जांच करें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।