Gratis scannen
CRITICALCVE-2026-32975CVSS 9.8

OpenClaw < 2026.3.12 - Weak Authorization via Mutable Group Names in Zalouser Allowlist

Platform

nodejs

Component

openclaw

Opgelost in

2026.3.12

AI Confidence: highNVDEPSS 0.1%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2026-32975 is een kritieke zwakke autorisatie kwetsbaarheid in OpenClaw. Met een CVSS score van 9.8, maakt deze kwetsbaarheid het mogelijk om channel authorization te omzeilen. Dit kan leiden tot het routeren van berichten van onbedoelde groepen. OpenClaw versies 0 tot en met 2026.3.12 zijn kwetsbaar. De fix is beschikbaar in versie 2026.3.12.

Impact en Aanvalsscenarios

CVE-2026-32975 treft OpenClaw-versies vóór 2026.3.12. Deze zwakke autorisatiefout in de allowlist-modus van Zalouser stelt aanvallers in staat om kanaalautorisatie te omzeilen. Het probleem is dat het systeem overeenkomende mutabele groepsnamen in plaats van stabiele groeps-ID's gebruikt. Aanvallers kunnen groepen maken met identieke namen als de groepen die op de allowlist staan, waardoor het systeem berichten van onbedoelde groepen naar de agent kan routeren. De CVSS-score voor deze kwetsbaarheid is 9,8, wat een kritiek risico aangeeft.

Uitbuitingscontext

Een aanvaller die de Zalouser-allowlist-configuratie kent, kan deze kwetsbaarheid uitbuiten door groepen te maken met namen die overeenkomen met de groepen die op de allowlist staan. De aanvaller kan dan berichten van deze vervalste groepen verzenden, waardoor ze afkomstig lijken van legitieme bronnen. Dit kan worden gebruikt voor identiteitsfraude, het verspreiden van verkeerde informatie of zelfs ongeautoriseerde systeembeheersing. De effectiviteit van de aanval hangt af van het vermogen van de aanvaller om groepen binnen het OpenClaw-platform te maken en te beheren. Het ontbreken van een robuuste validatie van groeps-ID's is de hoofdoorzaak van deze kwetsbaarheid.

Wie Loopt Risicowordt vertaald…

Organizations utilizing OpenClaw, particularly those relying on the 'Zalouser allowlist mode' for channel authorization, are at risk. This includes deployments handling sensitive data or controlling critical infrastructure, as the bypass could lead to unauthorized access and potential compromise.

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

EPSS

0.08% (23% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impacttotal

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentopenclaw
LeverancierOpenClaw
Getroffen bereikOpgelost in
0 – 2026.3.122026.3.12

Zwakheidsclassificatie (CWE)

CWE-807

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De oplossing voor deze kwetsbaarheid is het updaten van OpenClaw naar versie 2026.3.12 of hoger. Deze update corrigeert het probleem door ervoor te zorgen dat het systeem stabiele groeps-ID's in plaats van groepsnamen gebruikt voor autorisatie. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico op ongeautoriseerde toegang en potentiële aanvallen te beperken. Controleer bovendien de configuratie van uw Zalouser-allowlist om te zorgen voor geen dubbele of potentieel verwarrende groepsnamen. Bewaak de OpenClaw-logboeken na de update op verdachte activiteiten om te bevestigen dat de kwetsbaarheid is verholpen.

Hoe te verhelpen

Update OpenClaw naar versie 2026.3.12 of hoger. Deze versie verhelpt de weak authorization kwetsbaarheid door stabiele groepsidentificaties te gebruiken in plaats van veranderlijke namen in de Zalouser allowlist.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-32975 in OpenClaw?

Zalouser is een component van OpenClaw die kanaalautorisatie beheert.

Ben ik getroffen door CVE-2026-32975 in OpenClaw?

De OpenClaw-versie kan worden gevonden in de applicatie-informatie of in de systeemlogboeken.

Hoe los ik CVE-2026-32975 in OpenClaw op?

Als u niet onmiddellijk kunt updaten, overweeg dan om extra beveiligingsmaatregelen te implementeren, zoals strengere logboekmonitoring en het beperken van gebruikersrechten.

Wordt CVE-2026-32975 actief misbruikt?

Deze kwetsbaarheid treft alleen OpenClaw-installaties die de Zalouser-allowlist-modus gebruiken.

Waar vind ik het officiële OpenClaw-beveiligingsadvies voor CVE-2026-32975?

U kunt meer informatie over deze kwetsbaarheid vinden in de beveiligingsinformatiebronnen van OpenClaw en in kwetsbaarheidsdatabases zoals het NVD.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken