प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.2.18
OpenClaw में एक प्रमाणीकरण बाईपास भेद्यता पाई गई है, जो हमलावरों को प्रमाणीकरण प्रक्रिया को दरकिनार करने की अनुमति देती है। इस भेद्यता का फायदा उठाकर, हमलावर अनधिकृत पहुंच प्राप्त कर सकते हैं। यह भेद्यता OpenClaw के संस्करण 2026.2.17–2026.2.17 को प्रभावित करती है। फिलहाल, इस समस्या के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
OpenClaw में CVE-2026-3690 भेद्यता दूरस्थ हमलावरों को क्रेडेंशियल्स की आवश्यकता के बिना प्रमाणीकरण को बायपास करने की अनुमति देती है। यह कैनवास एंडपॉइंट्स के लिए प्रमाणीकरण फ़ंक्शन के अनुचित कार्यान्वयन के कारण है। एक हमलावर इस कमजोरी का फायदा उठाकर सिस्टम तक पहुंच सकता है, बिना सामान्य प्रमाणीकरण प्रक्रिया से गुजरे, जिससे संवेदनशील डेटा तक अनधिकृत पहुंच या सिस्टम कॉन्फ़िगरेशन में हेरफेर हो सकता है। इस भेद्यता की गंभीरता को CVSS पर 7.4 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। वर्तमान में कोई फिक्स उपलब्ध न होने से स्थिति और खराब हो गई है, जिसके लिए तत्काल निवारक उपायों की आवश्यकता है।
CVE-2026-3690 OpenClaw में कैनवास एंडपॉइंट्स के प्रमाणीकरण तर्क में कमजोरी का फायदा उठाकर शोषण किया जाता है। हमलावर को इन कार्यों तक पहुंचने के लिए वैध क्रेडेंशियल्स की आवश्यकता नहीं होती है। शोषण में प्रमाणीकरण नियंत्रण को बायपास करने के उद्देश्य से दुर्भावनापूर्ण अनुरोध भेजने की संभावना शामिल है। मूल रिपोर्ट (ZDI-CAN-29311) इंगित करती है कि कमजोरी प्रमाणीकरण फ़ंक्शन के कार्यान्वयन में मौजूद है, जो बताता है कि इनपुट मापदंडों में हेरफेर करके या विशिष्ट स्क्रिप्ट निष्पादित करके कमजोरी का फायदा उठाया जा सकता है। KEV (कर्नेल एक्सप्लॉइट सत्यापन) की अनुपस्थिति का सुझाव है कि एक नियंत्रित वातावरण में शोषण सत्यापन प्रगति पर है, लेकिन CVSS गंभीरता रेटिंग से पता चलता है कि शोषण संभव है।
Organizations utilizing OpenClaw for any purpose, particularly those relying on its authentication mechanisms for access control, are at risk. This includes environments where OpenClaw is exposed to external networks or untrusted users. Legacy configurations or deployments without proper network segmentation are particularly vulnerable.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि OpenClaw में CVE-2026-3690 के लिए कोई फिक्स उपलब्ध नहीं है, इसलिए शमन अतिरिक्त सुरक्षा उपायों पर केंद्रित है। प्रभावित OpenClaw इंस्टॉलेशन को एक खंडित नेटवर्क पर अलग करने की पुरजोर अनुशंसा की जाती है ताकि शोषण के संभावित प्रभाव को सीमित किया जा सके। संदिग्ध गतिविधि का पता लगाने के लिए सिस्टम की निरंतर निगरानी भी महत्वपूर्ण है। यदि संभव हो तो, आधिकारिक पैच जारी होने तक कैनवास कार्यों को अस्थायी रूप से अक्षम करने पर विचार करें। OpenClaw सुरक्षा अपडेट के बारे में सूचित रहना और उपलब्ध होते ही किसी भी पैच को तुरंत लागू करना आवश्यक है। एक मजबूत फ़ायरवॉल और सख्त एक्सेस नियमों को लागू करने से जोखिम को और कम किया जा सकता है।
Actualice OpenClaw a la versión corregida. Revise la documentación oficial de OpenClaw o el repositorio de GitHub para obtener instrucciones específicas de actualización. Asegúrese de que la implementación de la autenticación se revise y fortalezca para prevenir futuros bypasses.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इसका मतलब है कि एक हमलावर वैध उपयोगकर्ता नाम और पासवर्ड की आवश्यकता के बिना सिस्टम या कुछ कार्यों तक पहुंच सकता है।
चूंकि कोई पैच नहीं है, इसलिए अपने सिस्टम को अलग करें, गतिविधि की निगरानी करें और यदि संभव हो तो कैनवास कार्यों को अक्षम करें। सुरक्षा अपडेट के बारे में सूचित रहें।
हालांकि कोई KEV नहीं है, लेकिन CVSS स्कोर 7.4 बताता है कि यह भेद्यता सक्रिय है और इसका फायदा उठाया जा सकता है।
फिक्स जारी करने की अनुमानित तिथि नहीं है। अपडेट के लिए OpenClaw वेबसाइट देखें।
यह Zero Day Initiative (ZDI) को प्रस्तुत किए गए मूल भेद्यता रिपोर्ट का पहचानकर्ता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।