प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.2.14
OpenClaw के संस्करणों में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता की पहचान की गई है, जो 2026.2.14 से पहले के संस्करणों को प्रभावित करती है। यह भेद्यता गेटवे में आंतरिक अनुमोदन फ़ील्ड को ठीक से सैनिटाइज़ करने में विफलता के कारण होती है, जिससे प्रमाणित क्लाइंट्स को सिस्टम.रन कमांड के लिए निष्पादन अनुमोदन गेटिंग को बायपास करने की अनुमति मिलती है। इस भेद्यता का सफलतापूर्वक शोषण करने पर, हमलावर जुड़े नोड होस्ट पर मनमाना कमांड निष्पादित कर सकते हैं, जिससे संभावित रूप से डेवलपर वर्कस्टेशन और CI रनर से समझौता हो सकता है। 2026.2.14 में अपग्रेड करके इस समस्या का समाधान किया गया है।
CVE-2026-28466 का शोषण करने वाला एक हमलावर OpenClaw गेटवे के माध्यम से जुड़े नोड होस्ट पर मनमाना कोड निष्पादित कर सकता है। चूंकि भेद्यता प्रमाणित क्लाइंट्स को लक्षित करती है, इसलिए हमलावर को पहले वैध गेटवे क्रेडेंशियल प्राप्त करने की आवश्यकता होगी। एक बार क्रेडेंशियल प्राप्त हो जाने के बाद, हमलावर अनुमोदन नियंत्रण फ़ील्ड को इंजेक्ट करने के लिए भेद्यता का फायदा उठा सकता है, जिससे सिस्टम.रन कमांड को बायपास किया जा सके और मनमाना कमांड निष्पादित किया जा सके। यह भेद्यता डेवलपर वर्कस्टेशन और CI रनर सहित महत्वपूर्ण प्रणालियों से समझौता कर सकती है, जिससे डेटा चोरी, सिस्टम नियंत्रण का नुकसान और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक हमलावर अप्रत्याशित कोड निष्पादन को ट्रिगर करने के लिए इनपुट को नियंत्रित करता है।
CVE-2026-28466 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है, लेकिन इसका EPSS स्कोर उच्च होने की संभावना है, क्योंकि यह रिमोट कोड एग्जीक्यूशन की अनुमति देता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता और संभावित प्रभाव को देखते हुए, इसका शोषण किया जा सकता है। NVD और CISA ने 2026-03-05 को इस भेद्यता को प्रकाशित किया।
Development teams using OpenClaw, particularly those with CI/CD pipelines, are at significant risk. Organizations relying on OpenClaw to manage access to sensitive developer workstations and infrastructure are also vulnerable. Shared hosting environments where OpenClaw is deployed could expose multiple users to the risk of compromise.
• linux / server: Monitor OpenClaw logs for unusual node.invoke requests containing suspicious approval control fields. Use journalctl -u openclaw to filter for relevant events.
journalctl -u openclaw | grep 'approval control field'• generic web: Examine OpenClaw API request logs for patterns indicative of approval field manipulation. Look for requests with unusually long or complex node.invoke parameters.
• other: Review OpenClaw configuration files for any misconfigured approval gating settings that could inadvertently weaken security controls.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-28466 को कम करने के लिए, OpenClaw को संस्करण 2026.2.14 या बाद के संस्करण में तुरंत अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, गेटवे पर सख्त एक्सेस नियंत्रण लागू करें और केवल अधिकृत उपयोगकर्ताओं को ही सिस्टम.रन कमांड निष्पादित करने की अनुमति दें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके इनपुट को सैनिटाइज़ करने और दुर्भावनापूर्ण अनुमोदन नियंत्रण फ़ील्ड को ब्लॉक करने पर विचार करें। सिस्टम.रन कमांड के लिए अनुमोदन गेटिंग को अक्षम करने से भी जोखिम कम हो सकता है, लेकिन इससे सुरक्षा निहितार्थ हो सकते हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता का समाधान हो गया है, सिस्टम.रन कमांड को वैध क्रेडेंशियल्स के साथ निष्पादित करने का प्रयास करके और यह सुनिश्चित करके कि अनुमोदन गेटिंग लागू है।
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de omisión de aprobación de ejecución remota de código. La actualización evitará que atacantes con credenciales válidas ejecuten comandos arbitrarios en los nodos conectados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-28466 OpenClaw के संस्करणों (≤2026.2.14) में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो हमलावरों को मनमाना कमांड निष्पादित करने की अनुमति देती है।
यदि आप OpenClaw के संस्करण 2026.2.14 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-28466 को ठीक करने के लिए, OpenClaw को संस्करण 2026.2.14 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-28466 के सक्रिय शोषण का कोई सार्वजनिक रूप से ज्ञात प्रमाण नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।
OpenClaw सुरक्षा सलाहकार के लिए OpenClaw वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।