प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.13
CVE-2026-32987 OpenClaw में एक भेद्यता है जो डिवाइस पेयरिंग सत्यापन के दौरान बूटस्ट्रैप सेटअप कोड को फिर से चलाने की अनुमति देती है। हमलावर अनुमोदन से पहले कई बार एक वैध बूटस्ट्रैप कोड को सत्यापित कर सकते हैं, जिससे लंबित पेयरिंग स्कोप बढ़ सकते हैं, जिसमें ऑपरेटर/एडमिन तक विशेषाधिकार वृद्धि शामिल है। यह भेद्यता वर्जन 0–2026.3.13 को प्रभावित करती है। वर्जन 2026.3.13 में इस समस्या को ठीक कर दिया गया है।
OpenClaw में CVE-2026-32987, CVSS स्कोर 9.8 के साथ, src/infra/device-bootstrap.ts में डिवाइस पेयरिंग सत्यापन के दौरान बूटस्ट्रैप सेटअप कोड को फिर से चलाने की अनुमति देता है। एक हमलावर अनुमोदन से पहले एक वैध बूटस्ट्रैप कोड को कई बार सत्यापित कर सकता है, जिससे लंबित पेयरिंग स्कोप बढ़ जाते हैं, जिसमें ऑपरेटर.एडमिन तक विशेषाधिकार बढ़ाना शामिल है। यह OpenClaw सिस्टम में एक महत्वपूर्ण सुरक्षा जोखिम प्रस्तुत करता है, जिससे हमलावर उपकरणों और कॉन्फ़िगरेशन को पूरी तरह से नियंत्रित कर सकता है।
इस भेद्यता का शोषण करने के लिए OpenClaw डिवाइस पेयरिंग बुनियादी ढांचे तक पहुंच की आवश्यकता होती है। एक हमलावर सोशल इंजीनियरिंग, मैलवेयर या सिस्टम के भीतर अन्य कमजोरियों का फायदा उठाकर इस पहुंच प्राप्त कर सकता है। बूटस्ट्रैप कोड को फिर से चलाने से हमलावर एक वैध डिवाइस का प्रतिरूपण कर सकता है, प्रमाणीकरण और प्राधिकरण तंत्र को बायपास कर सकता है। अनुमोदन से पहले बूटस्ट्रैप कोड का उचित सत्यापन न होने से विशेषाधिकार बढ़ाना आसान हो जाता है।
Organizations heavily reliant on OpenClaw for critical infrastructure or sensitive data are at the highest risk. Specifically, deployments with weak device pairing policies or those using shared hosting environments where multiple users share resources are particularly vulnerable. Any environment where operator.admin privileges are required for critical operations is at risk.
• nodejs: Use npm audit to check for vulnerabilities in OpenClaw dependencies.
npm audit opencrawler• nodejs: Monitor OpenClaw logs for repeated attempts to verify bootstrap codes from the same source IP address.
journalctl -u opencrawler -f | grep "bootstrap code verification failed"• generic web: Monitor access logs for requests related to device pairing endpoints, looking for unusual patterns or repeated requests. • generic web: Examine OpenClaw configuration files for any insecure settings related to bootstrap code verification.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को ठीक करने का तरीका OpenClaw को संस्करण 2026.3.13 या बाद के संस्करण में अपडेट करना है। इस संस्करण में बूटस्ट्रैप कोड को फिर से चलाने से रोकने वाला एक सुधार शामिल है। शोषण के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की दृढ़ता से अनुशंसा की जाती है। अपडेट करने से पहले, डिवाइस पेयरिंग से संबंधित किसी भी संदिग्ध गतिविधि के लिए ऑडिट लॉग की जांच करें। बूटस्ट्रैप कुंजी रोटेशन नीतियों को लागू करने से सुरक्षा मुद्रा को और मजबूत किया जा सकता है।
Actualice OpenClaw a la versión 2026.3.13 o posterior. Esta versión corrige la vulnerabilidad de repetición de códigos de configuración de bootstrap durante el emparejamiento de dispositivos. La actualización evitará que atacantes verifiquen códigos bootstrap válidos varias veces para escalar privilegios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
बूटस्ट्रैप कोड एक कुंजी या कोड है जिसका उपयोग डिवाइस को शुरू में कॉन्फ़िगर करने और OpenClaw सिस्टम के साथ एक सुरक्षित कनेक्शन स्थापित करने के लिए किया जाता है।
यदि आप 2026.3.13 से पहले OpenClaw के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। अपने सिस्टम पर स्थापित संस्करण की जांच करें।
'ऑपरेटर.एडमिन' विशेषाधिकार OpenClaw सिस्टम पर पूर्ण नियंत्रण प्रदान करते हैं, जिसमें डिवाइस कॉन्फ़िगरेशन, उपयोगकर्ता प्रबंधन और संवेदनशील डेटा तक पहुंच शामिल है।
वर्तमान में, बूटस्ट्रैप कोड को फिर से चलाने का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। संदिग्ध पैटर्न की पहचान करने में मदद करने के लिए ऑडिट लॉग की जांच की जा सकती है।
यदि आपको संदेह है कि आपका सिस्टम समझौता किया गया है, तो प्रभावित डिवाइस को तुरंत नेटवर्क से अलग करें, पासवर्ड बदलें और एक फोरेंसिक जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।