OpenClaw < 2026.3.13 - SCP में असंक्रमित iMessage अटैचमेंट पाथ के माध्यम से रिमोट कमांड इंजेक्शन (Remote Command Injection)

CVE-2026-32917 OpenClaw के 2026.3.13 से पहले के संस्करणों को प्रभावित करता है, जिससे रिमोट कमांड इंजेक्शन भेद्यता उत्पन्न होती है। यह दोष iMessage अटैचमेंट स्टेजिंग फ्लो के भीतर मौजूद है। एक हमलावर इस भेद्यता का उपयोग कॉन्फ़िगर किए गए रिमोट होस्ट पर मनमाना कमांड निष्पादित करने के लिए कर सकता है। भेद्यता को CVSS स्कोर 9.8 के साथ रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। मूल कारण रिमोट अटैचमेंट पथों के सैनिटाइजेशन की कमी है जिसमें शेल मेटाकैरेक्टर शामिल हैं, जिन्हें रिमोट अटैचमेंट स्टेजिंग सक्षम होने पर सत्यापन के बिना सीधे SCP रिमोट ऑपरेंड को पास किया जाता है।

Organizations utilizing OpenClaw with remote attachment staging enabled are at risk. This includes environments where OpenClaw is used for file sharing or collaboration, particularly those with less stringent security controls. Legacy OpenClaw deployments and systems with outdated configurations are also at increased risk.

1. 2026-03-31Disclosure

   disclosure

1. आरक्षित2026-03-16
2. प्रकाशित2026-03-31
3. EPSS अद्यतन2026-04-07

CVE-2026-32917 को कम करने का समाधान OpenClaw को संस्करण 2026.3.13 या बाद के संस्करण में अपग्रेड करना है। यह अपडेट रिमोट अटैचमेंट पथों के उचित सत्यापन को लागू करके भेद्यता को ठीक करता है, जिससे कमांड इंजेक्शन को रोका जा सकता है। अपग्रेड करने तक, यदि यह बिल्कुल आवश्यक नहीं है, तो रिमोट अटैचमेंट स्टेजिंग कार्यक्षमता को अक्षम करने की अनुशंसा की जाती है। सिस्टम लॉग की निगरानी संदिग्ध गतिविधि के लिए भी संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने में मदद कर सकती है। अपग्रेड के बाद सिस्टम स्थिरता सुनिश्चित करने के लिए पूरी तरह से परीक्षण करने की सिफारिश की जाती है।