प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.11
2026.3.11
CVE-2026-32918, openclaw में एक सेशन विजिबिलिटी भेद्यता है, जो एक सैंडबॉक्स्ड सबएजेंट को किसी अन्य सेशन की जानकारी देखने या बदलने की अनुमति देती है। इसका प्रभाव यह है कि एक सैंडबॉक्स्ड चाइल्ड सेशन पैरेंट या सिबलिंग सेशन डेटा को पढ़ सकता है और कुछ मामलों में, टारगेट सेशन के मॉडल को भी अपडेट कर सकता है। यह भेद्यता openclaw <= 2026.3.8 को प्रभावित करती है। इसे openclaw 2026.3.11 में ठीक कर दिया गया है।
OpenClaw में CVE-2026-32918 आंतरिक टूल session_status को प्रभावित करता है, जो सत्र दृश्यता सीमाओं को ठीक से लागू नहीं करता था। एक सैंडबॉक्स किए गए सब-एजेंट दूसरे सत्र का sessionKey प्रदान कर सकता है और अपने स्वयं के सैंडबॉक्स दायरे से बाहर की स्थिति का निरीक्षण या संशोधित कर सकता है। यह एक महत्वपूर्ण सुरक्षा जोखिम है, क्योंकि एक दुर्भावनापूर्ण सब-एजेंट संवेदनशील जानकारी तक पहुंच सकता है या अन्य सत्रों के व्यवहार को बदल सकता है।
इस भेद्यता का शोषण करने के लिए, एक सैंडबॉक्स किए गए सब-एजेंट को दूसरे सत्र का sessionKey प्राप्त करने में सक्षम होना चाहिए। यह हो सकता है यदि सैंडबॉक्स कॉन्फ़िगरेशन गलत है या यदि अन्य भेद्यताएं मौजूद हैं जो एक सब-एजेंट को अपने पृथक वातावरण से बचने की अनुमति देती हैं। एक बार जब हमलावर के पास sessionKey हो जाता है, तो वे इसका उपयोग लक्ष्य सत्र में डेटा पढ़ने या संशोधित करने के लिए कर सकते हैं, जिसमें लगातार मॉडल भी शामिल हैं।
Applications and services relying on openclaw for sandboxing and session management are at risk. This includes systems where subagents are used to extend the functionality of the main application, particularly those handling sensitive user data or financial transactions. Organizations using legacy openclaw configurations or those with limited resources for timely patching are particularly vulnerable.
• nodejs:
npm list openclawThis command will list installed openclaw versions. Check if the version is <= 2026.3.8. • nodejs:
find / -name "openclaw*" -type d -printThis command searches for openclaw related directories, which may indicate installation locations. • generic web: Review openclaw logs for unusual session activity or attempts to access data outside the expected scope. Look for patterns indicative of a sandboxed subagent attempting to access other session keys.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
इस जोखिम को कम करने के लिए, OpenClaw को संस्करण 2026.3.11 या बाद के संस्करण में अपडेट करने की अनुशंसा की जाती है। इस संस्करण में एक फिक्स शामिल है जो सत्र दृश्यता सीमाओं के प्रवर्तन को मजबूत करता है, जिससे अन्य सत्र डेटा तक अनधिकृत पहुंच को रोका जा सकता है। इसके अतिरिक्त, अपने संचालन के लिए आवश्यक संसाधनों तक पहुंचने के लिए सैंडबॉक्स किए गए सब-एजेंट के कॉन्फ़िगरेशन की समीक्षा करें, जिससे हमले की सतह कम हो जाएगी। अपडेट सबसे प्रभावी समाधान है और इसकी दृढ़ता से अनुशंसा की जाती है।
Actualice OpenClaw a la versión 2026.3.11 o posterior. Esta versión corrige la vulnerabilidad de escape de sandbox de sesión en la herramienta session_status, impidiendo que los subagentes en sandbox accedan al estado de la sesión principal o de las sesiones hermanas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
OpenClaw सैंडबॉक्स वातावरण में AI एजेंट चलाने के लिए एक फ्रेमवर्क है।
सैंडबॉक्स एक पृथक वातावरण है जो एजेंट की सिस्टम संसाधनों तक पहुंच को सीमित करता है, जिससे यह नुकसान पहुंचाने या गोपनीय जानकारी तक पहुंचने से बचता है।
आप कमांड लाइन में openclaw --version कमांड चलाकर अपने OpenClaw संस्करण की जांच कर सकते हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो सैंडबॉक्स किए गए सब-एजेंटों की सिस्टम संसाधनों तक पहुंच को प्रतिबंधित करने और संदिग्ध व्यवहार के लिए सत्र गतिविधि की निगरानी करने पर विचार करें।
आप OpenClaw के आधिकारिक दस्तावेज़ और राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।