प्लेटफ़ॉर्म
javascript
घटक
openclaw
में ठीक किया गया
2026.2.22
CVE-2026-3691 is an Information Disclosure vulnerability affecting the OpenClaw Client version 2026.2.21. This flaw allows remote attackers to potentially disclose stored credentials by exploiting weaknesses in the OAuth authorization implementation. User interaction is required, necessitating the target to initiate an OAuth authorization flow. A patch is available to address this issue.
OpenClaw Client PKCE Verifier में CVE-2026-3691 एक सूचना प्रकटीकरण भेद्यता है, जो संग्रहीत क्रेडेंशियल्स को उजागर कर सकती है। यह OAuth प्राधिकरण कार्यान्वयन में एक दोष के कारण होता है, जहां संवेदनशील डेटा प्राधिकरण URL क्वेरी स्ट्रिंग में उजागर होता है। एक हमलावर उपयोगकर्ता को OAuth प्राधिकरण प्रवाह शुरू करने के लिए बरगलाकर इसका फायदा उठा सकता है। CVSS स्कोर 5.3 है, लेकिन वास्तविक जोखिम उजागर क्रेडेंशियल्स की संवेदनशीलता और हमलावर की उपयोगकर्ता को हेरफेर करने की क्षमता पर निर्भर करता है। तत्काल समाधान की कमी सावधानीपूर्वक मूल्यांकन और शमन रणनीतियों की आवश्यकता होती है।
इस भेद्यता का फायदा उठाने के लिए, लक्ष्य उपयोगकर्ता को OAuth प्राधिकरण प्रवाह शुरू करना होगा। एक हमलावर ऐसा फ़िशिंग या लिंक हेरफेर के माध्यम से कर सकता है। एक बार उपयोगकर्ता प्रवाह शुरू कर देता है, तो संवेदनशील जानकारी URL पर उजागर हो जाती है, जिससे हमलावर इसे पुनः प्राप्त कर सकता है। शोषण की सफलता हमलावर की उपयोगकर्ता को धोखा देने की क्षमता और उजागर जानकारी की संवेदनशीलता पर निर्भर करती है। एक फिक्स की अनुपस्थिति का मतलब है कि यह भेद्यता अभी भी सक्रिय है और संभावित रूप से शोषण योग्य है।
Users of the OpenClaw Client, particularly those relying on OAuth for authentication, are at risk. This includes individuals and organizations using the client for accessing services that require OAuth authorization. Systems with legacy configurations or those that haven't implemented robust OAuth security practices are particularly vulnerable.
• javascript / client:
// Check for presence of sensitive data in authorization URL query string
// Example: Check if 'verifier' parameter is present and contains a long, random string• generic web:
curl -v 'https://<openclaw_client_url>/oauth/authorize?response_type=code&client_id=<client_id>&redirect_uri=<redirect_uri>&verifier=<potential_verifier>' | grep 'verifier='disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, CVE-2026-3691 के लिए कोई फिक्स उपलब्ध नहीं है। OpenClaw Client उपयोगकर्ताओं को OpenClaw का उपयोग करने वाले सिस्टम तक पहुंच को प्रतिबंधित करने की दृढ़ता से सलाह दी जाती है, खासकर वे जो संवेदनशील जानकारी को संभालते हैं। OAuth प्राधिकरण लॉग की निगरानी संदिग्ध गतिविधि के लिए महत्वपूर्ण है। OpenClaw डेवलपर्स को प्राधिकरण URL मापदंडों के लिए सख्त सत्यापन लागू करना चाहिए और क्वेरी स्ट्रिंग में संवेदनशील जानकारी शामिल करने से बचना चाहिए। भविष्य में जारी किए जाने वाले किसी भी समाधान को लागू करने के लिए OpenClaw सुरक्षा अपडेट के बारे में जानकारी रखना आवश्यक है।
Actualice a la versión corregida para mitigar la divulgación de credenciales. La vulnerabilidad se debe a la exposición de datos sensibles en la cadena de consulta de la URL de autorización. Verifique y fortalezca la implementación de OAuth para evitar la exposición de información confidencial en las URL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
उजागर जानकारी OpenClaw कॉन्फ़िगरेशन और OAuth प्राधिकरण प्रवाह में उपयोग किए गए डेटा पर निर्भर करती है। इसमें एक्सेस टोकन, उपयोगकर्ता पहचानकर्ता या अन्य संवेदनशील डेटा शामिल हो सकते हैं।
यदि आप OpenClaw Client का उपयोग कर रहे हैं, तो जब तक कोई फिक्स जारी नहीं किया जाता है, तब तक आप कमजोर होने की संभावना है। असामान्य गतिविधि के लिए अपने OAuth प्राधिकरण लॉग की जांच करें।
संभावित रूप से समझौता किए गए किसी भी खाते के पासवर्ड तुरंत बदलें। उचित अधिकारियों और OpenClaw डेवलपर्स को घटना की रिपोर्ट करें।
OpenClaw का उपयोग करने वाले सिस्टम तक पहुंच को प्रतिबंधित करना और OAuth प्राधिकरण लॉग की निगरानी करना अस्थायी जोखिम कम करने के उपाय हैं।
फिक्स जारी करने की अनुमानित तारीख नहीं है। OpenClaw सुरक्षा अपडेट के बारे में जानकारी रखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।