प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.11
OpenClaw में एक गंभीर विशेषाधिकार वृद्धि भेद्यता पाई गई है, जो संस्करण 0 से लेकर 2026.3.11 तक के संस्करणों को प्रभावित करती है। यह भेद्यता device.token.rotate फ़ंक्शन में मौजूद है, जहाँ हमलावर अपने मौजूदा दायरे से परे टोकन बना सकते हैं। इससे उन्हें सिस्टम पर दूरस्थ कोड निष्पादित करने या अनधिकृत गेटवे-एडमिन एक्सेस प्राप्त करने की क्षमता मिल सकती है। 2026.3.11 संस्करण में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को OpenClaw सिस्टम पर महत्वपूर्ण नियंत्रण प्राप्त करने की अनुमति देती है। हमलावर device.token.rotate फ़ंक्शन का दुरुपयोग करके ऐसे टोकन बना सकते हैं जिनमें व्यापक अधिकार होते हैं, भले ही उनके पास मूल रूप से सीमित दायरे हों। इसका मतलब है कि वे सिस्टम पर मनमाना कोड निष्पादित कर सकते हैं, संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, और यहां तक कि पूरे नेटवर्क पर नियंत्रण भी कर सकते हैं। इस भेद्यता का उपयोग करके हमलावर अन्य जुड़े नोड्स पर भी हमला कर सकते हैं, जिससे संभावित रूप से व्यापक क्षति हो सकती है। यह भेद्यता Log4Shell जैसी अन्य गंभीर भेद्यताओं के समान शोषण पैटर्न का उपयोग कर सकती है, जिससे यह और भी खतरनाक हो जाती है।
CVE-2026-32922 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और संभावित प्रभाव को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है। इस CVE को CISA KEV (Know Exploited Vulnerabilities) सूची में जोड़ा जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही POC जारी किए जाएंगे। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations utilizing OpenClaw for managing distributed systems, particularly those relying on token-based authentication and authorization, are at risk. Environments with legacy configurations or those that have not implemented robust token scope validation are especially vulnerable. Any deployment of OpenClaw versions 0 through 2026.3.11 should be considered at immediate risk.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (47% शतमक)
CISA SSVC
CVSS वेक्टर
OpenClaw के प्रभावित संस्करणों को तुरंत 2026.3.11 में अपडेट करना सबसे प्रभावी उपाय है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, डिवाइस टोकन के दायरे को सीमित करने के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, सिस्टम लॉग की नियमित रूप से निगरानी की जानी चाहिए ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके जो इस भेद्यता के शोषण का संकेत दे सकती है। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके संदिग्ध अनुरोधों को ब्लॉक किया जा सकता है। अपग्रेड के बाद, यह सत्यापित करें कि टोकन निर्माण प्रक्रिया सही ढंग से काम कर रही है और कोई अनधिकृत टोकन नहीं बनाए जा रहे हैं।
OpenClaw को संस्करण 2026.3.11 या बाद के संस्करण में अपडेट करें। यह संस्करण device.token.rotate फ़ंक्शन में विशेषाधिकार वृद्धि भेद्यता (privilege escalation vulnerability) को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32922 OpenClaw में एक विशेषाधिकार वृद्धि भेद्यता है जो हमलावरों को व्यापक दायरे के टोकन बनाने और सिस्टम पर दूरस्थ कोड निष्पादित करने की अनुमति देती है।
यदि आप OpenClaw के संस्करण 0 से लेकर 2026.3.11 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
OpenClaw के प्रभावित संस्करणों को तुरंत 2026.3.11 में अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो फ़ायरवॉल नियमों को कॉन्फ़िगर करके और सिस्टम लॉग की निगरानी करके अस्थायी उपाय करें।
CVE-2026-32922 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता को देखते हुए, यह शोषण के लिए एक आकर्षक लक्ष्य है।
OpenClaw सलाहकार के लिए, कृपया OpenClaw की आधिकारिक वेबसाइट पर जाएँ: [OpenClaw वेबसाइट का लिंक]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।