OpenClaw < 2026.3.12 - वर्कस्पेस प्लगइन्स की ऑटो-डिस्कवरी के माध्यम से मनमाना कोड निष्पादन (Arbitrary Code Execution)

OpenClaw में CVE-2026-32920 भेद्यता किसी भी कोड को निष्पादित करने की अनुमति देती है। OpenClaw ने स्पष्ट विश्वास या स्थापना चरण के बिना वर्तमान कार्यक्षेत्र में .openclaw/extensions/ निर्देशिका से स्वचालित रूप से प्लगइन्स की खोज और लोड किया। एक दुर्भावनापूर्ण रिपॉजिटरी में एक तैयार कार्यक्षेत्र प्लगइन शामिल हो सकता है जो उपयोगकर्ता द्वारा उस क्लोन की गई निर्देशिका से OpenClaw चलाने पर स्वचालित रूप से निष्पादित हो जाएगा। यह एक महत्वपूर्ण सुरक्षा जोखिम प्रस्तुत करता है क्योंकि एक हमलावर उपयोगकर्ता की प्रणाली को समझौता कर सकता है।

Developers and users of OpenClaw who routinely clone repositories from untrusted sources are at the highest risk. This includes those working in environments where automated build processes or continuous integration pipelines pull code from external sources without adequate security checks. Shared hosting environments where multiple users have access to the same repository are also particularly vulnerable.

• nodejs / supply-chain:

  npm list openclaw

• nodejs / supply-chain:

  npm ls openclaw --depth=0

• generic web: Check for the existence of .openclaw/extensions/ directories in cloned repositories, especially those from untrusted sources.

1. 2026-03-13Disclosure

   disclosure

1. आरक्षित2026-03-16
2. प्रकाशित2026-03-13
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-07

इस भेद्यता को कम करने के लिए, OpenClaw को संस्करण 2026.3.12 या बाद के संस्करण में अपडेट करें। यह संस्करण प्लगइन्स को लोड करने से पहले स्पष्ट विश्वास सत्यापन की आवश्यकता के द्वारा समस्या को ठीक करता है। इसके अतिरिक्त, अविश्वसनीय रिपॉजिटरी या उन रिपॉजिटरी में OpenClaw चलाने से बचें जिन्हें सत्यापित नहीं किया गया है। एक सुरक्षा नीति लागू करने पर विचार करें जो एक्सटेंशन निर्देशिकाओं तक पहुंच को प्रतिबंधित करती है और उपयोग से पहले प्लगइन्स के मैनुअल अनुमोदन की आवश्यकता होती है। अपडेट सबसे प्रभावी और अनुशंसित समाधान है।