प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.12
OpenClaw में एक गंभीर भेद्यता पाई गई है, जो कमजोर प्राधिकरण के कारण होती है। यह भेद्यता Zalouser allowlist मोड में समूह नामों की तुलना करते समय गलत तरीके से मिलान करने के कारण होती है। हमलावर समान नामों वाले समूहों का उपयोग करके अनधिकृत चैनलों के माध्यम से संदेश भेज सकते हैं। यह भेद्यता OpenClaw के संस्करण 0 से 2026.3.12 तक के संस्करणों को प्रभावित करती है, और संस्करण 2026.3.12 में इसे ठीक कर दिया गया है।
इस भेद्यता का गंभीर प्रभाव पड़ सकता है क्योंकि हमलावर अनधिकृत चैनलों के माध्यम से संदेश भेजकर सिस्टम के नियंत्रण को प्राप्त कर सकते हैं। वे संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियां कर सकते हैं। यह भेद्यता विशेष रूप से उन संगठनों के लिए जोखिम पैदा करती है जो OpenClaw का उपयोग महत्वपूर्ण संचार के लिए करते हैं, क्योंकि हमलावर महत्वपूर्ण संदेशों को बाधित कर सकते हैं या गलत जानकारी फैला सकते हैं। समान समूह नामों का उपयोग करके प्राधिकरण को बायपास करने की क्षमता हमलावर को अनजाने में भी संवेदनशील डेटा तक पहुंचने की अनुमति दे सकती है, जिससे गोपनीयता भंग हो सकती है और अनुपालन संबंधी समस्याएं हो सकती हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता के कारण, इसका शोषण होने की संभावना है। यह भेद्यता KEV (CISA Known Exploited Vulnerabilities) सूची में शामिल होने की संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं मिला है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका जल्द ही शोषण हो सकता है। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
Organizations utilizing OpenClaw, particularly those relying on the 'Zalouser allowlist mode' for channel authorization, are at risk. This includes deployments handling sensitive data or controlling critical infrastructure, as the bypass could lead to unauthorized access and potential compromise.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, OpenClaw को संस्करण 2026.3.12 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो Zalouser allowlist मोड को अस्थायी रूप से अक्षम करने पर विचार करें, हालांकि इससे कार्यक्षमता सीमित हो सकती है। समूह नामों को अद्वितीय और अनुमान लगाने में कठिन बनाने के लिए सख्त नामकरण नीतियों को लागू करें। नेटवर्क ट्रैफ़िक की निगरानी करें और असामान्य गतिविधि के संकेतों की तलाश करें, जैसे कि अनधिकृत चैनलों के माध्यम से संदेश भेजना। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करें जो समान नामों वाले समूहों के माध्यम से आने वाले अनुरोधों को ब्लॉक कर सके।
OpenClaw को संस्करण 2026.3.12 या बाद के संस्करण में अपडेट करें। यह संस्करण ज़ालुसेर अनुमति सूची में परिवर्तनशील प्रदर्शन नामों के बजाय स्थिर समूह पहचानकर्ताओं का उपयोग करके कमजोर प्राधिकरण भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32975 OpenClaw में एक भेद्यता है जो हमलावरों को समान नामों वाले समूहों का उपयोग करके चैनल प्राधिकरण को बायपास करने की अनुमति देती है।
यदि आप OpenClaw के संस्करण 0 से 2026.3.12 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
OpenClaw को संस्करण 2026.3.12 या बाद के संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता के कारण, इसका शोषण होने की संभावना है।
OpenClaw की वेबसाइट पर या NVD डेटाबेस में आधिकारिक सलाहकार खोजें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।