प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.28
2026.3.28
CVE-2026-33578 OpenClaw में एक प्रेषक नीति बाईपास भेद्यता है। इसका मतलब है कि एक हमलावर प्रेषक प्रतिबंधों को बायपास कर सकता है, जिससे बॉट के साथ बातचीत की जा सकती है, भले ही कॉन्फ़िगर की गई अनुमति सूची प्रतिबंध हों। यह भेद्यता 0–2026.3.28 संस्करणों को प्रभावित करती है। संस्करण 2026.3.28 में इस समस्या को ठीक कर दिया गया है।
OpenClaw में CVE-2026-33578 अनधिकृत उपयोगकर्ताओं को बॉट के साथ इंटरैक्ट करने की अनुमति देता है, भले ही प्रेषक-स्तरीय प्रतिबंध कॉन्फ़िगर किए गए हों। विशेष रूप से, यदि केवल रूट-स्तरीय समूह अनुमति सूची कॉन्फ़िगर की गई थी (Google Chat या Zalouser), तो प्रेषक नीति समाधान को चुपचाप 'अनुमति सूची' से 'खुला' में कम कर दिया गया। इसका मतलब है कि अनुमति सूची में किसी भी समूह के सदस्य बॉट के साथ संचार कर सकते हैं, जिससे ऑपरेटर का विशिष्ट प्रेषकों तक इंटरैक्शन को सीमित करने का इरादा विफल हो जाता है।
एक हमलावर इस भेद्यता का फायदा उठा सकता है यदि OpenClaw बॉट को समूह अनुमति सूची के साथ कॉन्फ़िगर किया गया है और ऑपरेटर का इरादा विशिष्ट प्रेषकों तक पहुंच को प्रतिबंधित करने का था। अनुमति सूची समूह का सदस्य होने के नाते, हमलावर प्राधिकरण के बिना बॉट के साथ इंटरैक्ट कर सकता है, जिससे संभावित रूप से बॉट द्वारा संसाधित डेटा की सुरक्षा या अखंडता से समझौता हो सकता है। शोषण सीधा है, हमलावर को अनुमति समूह का सदस्य होने के अलावा किसी भी विशेष कार्रवाई की आवश्यकता नहीं है।
Organizations using OpenClaw for Google Chat and Zalouser integrations, particularly those relying on route-level group allowlists for access control, are at risk. This includes businesses using OpenClaw for internal communication, automation, or data processing within these platforms. Shared hosting environments where multiple users share an OpenClaw instance are also at increased risk.
• nodejs: Monitor OpenClaw logs for unexpected bot interactions from users outside of expected sender groups. Use journalctl -u openclaw to filter for relevant events.
• generic web: Review Google Chat and Zalouser integration logs for unusual bot commands or data access originating from members of allowlisted groups. Examine access/error logs for patterns indicating unauthorized access.
• generic web: Check for unexpected bot activity via curl: curl -v <openclaw_endpoint> | grep -i 'unauthorized access'
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, OpenClaw को संस्करण 2026.3.28 या उच्चतर में अपडेट करें। यह अपडेट प्रेषक नीति समाधान में गलत व्यवहार को ठीक करता है, यह सुनिश्चित करता है कि समूह-स्तरीय प्रतिबंध लागू किए जाएं। अपडेट के बाद एक्सेस नीतियों को अपेक्षित रूप से व्यवहार करने के लिए अपने Google Chat और Zalouser अनुमति सूची कॉन्फ़िगरेशन की समीक्षा करने की अनुशंसा की जाती है। अपडेट के बाद बॉट गतिविधि की निगरानी भी एक अच्छी प्रथा है ताकि किसी भी अप्रत्याशित व्यवहार की पहचान की जा सके।
OpenClaw को संस्करण 2026.3.28 या बाद के संस्करण में अपडेट करें। यह अपडेट Google Chat और Zalouser एक्सटेंशन में प्रेषक नीति बाईपास भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
OpenClaw विभिन्न मैसेजिंग प्लेटफॉर्म जैसे Google Chat और Zalouser के साथ इंटरैक्ट करने वाले बॉट बनाने के लिए एक फ्रेमवर्क है।
अपडेट एक सुरक्षा भेद्यता को ठीक करता है जो अनधिकृत उपयोगकर्ताओं को बॉट के साथ इंटरैक्ट करने की अनुमति दे सकता है।
अपनी अनुमति सूची कॉन्फ़िगरेशन की समीक्षा करें और बॉट गतिविधि की निगरानी करें ताकि यह सुनिश्चित हो सके कि यह अपेक्षित रूप से काम कर रहा है।
यदि आप OpenClaw के 2026.3.28 से पहले के संस्करण का उपयोग कर रहे हैं और आपके पास समूह अनुमति सूची कॉन्फ़िगर है, तो आप संभवतः प्रभावित हैं।
नहीं, अपडेट इस भेद्यता के लिए एकमात्र ज्ञात समाधान है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।