OpenClaw < 2026.3.11 - Goedkeuringsbypass via Niet-herkende Script Runners
Platform
nodejs
Component
openclaw
Opgelost in
2026.3.11
2026.3.11
CVE-2026-32978 is een high-severity approval integrity kwetsbaarheid in OpenClaw. Met een CVSS score van 8, maakt deze kwetsbaarheid het mogelijk om goedgekeurde script commando's te herschrijven. Dit kan leiden tot de uitvoering van gewijzigde code. OpenClaw versies 0 tot en met 2026.3.11 zijn kwetsbaar. De fix is beschikbaar in versie 2026.3.11.
Impact en Aanvalsscenarios
CVE-2026-32978 in openclaw stelt een aanvaller in staat om kwaadaardige code uit te voeren in een reeds goedgekeurde omgeving. Specifiek bindt het system.run-goedkeuringssysteem in node-host geen mutabele bestand operand correct bij het gebruik van script runners zoals tsx of jiti. Dit betekent dat een aanvaller goedkeuring kan verkrijgen voor een schijnbaar onschuldige script runner-commando, het referentiële script op schijf overschrijven en vervolgens de gewijzigde code uitvoeren in de reeds goedgekeurde uitvoercontext. Het risico is vooral groot in omgevingen waar system.run wordt gebruikt om de integriteit van scripts te waarborgen, aangezien dit beveiligingsmechanisme wordt gecompromitteerd.
Uitbuitingscontext
Het exploiteren van deze kwetsbaarheid vereist toegang tot het systeem waarop openclaw wordt uitgevoerd en de mogelijkheid om bestanden op schijf te wijzigen. Een aanvaller kan deze kwetsbaarheid benutten als hij/zij aanvankelijk goedkeuring kan krijgen voor een onschuldige script runner. Zodra de goedkeuring is verleend, kan de aanvaller het oorspronkelijke script vervangen door een kwaadaardige versie, die vervolgens wordt uitgevoerd met de rechten van de goedgekeurde uitvoercontext. De complexiteit van de exploitatie hangt af van de bestaande beveiligingsmaatregelen in het systeem, zoals bestandsrechten en toegangscontrolebeleid. De kwetsbaarheid is ernstiger in omgevingen waar system.run wordt vertrouwd voor de uitvoering van kritieke scripts.
Wie Loopt Risicowordt vertaald…
Organizations heavily reliant on openclaw for Node.js host management, particularly those using system.run for automated scripting and deployments, are at significant risk. Environments with lax file access controls or shared hosting configurations where multiple users can potentially modify script files are especially vulnerable.
Detectiestappenwordt vertaald…
• nodejs / supply-chain:
Get-Process -Name openclaw | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openclaw*'} | Select-Object -ExpandProperty Actions• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='openclaw'" -Newest 10Aanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
- Scope
- Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De oplossing voor CVE-2026-32978 is het upgraden naar versie 2026.3.11 of hoger van openclaw. Deze versie corrigeert de fout bij het binden van de bestand operand, waardoor ervoor wordt gezorgd dat de scripts die in system.run-commando's worden gebruikt, de verwachte zijn en niet door een aanvaller kunnen worden gewijzigd. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen, vooral in productieomgevingen. Controleer bovendien de system.run-goedkeuringsbeleid om ervoor te zorgen dat best practices voor beveiliging worden toegepast en dat de risico's van de uitvoering van ongeautoriseerde code worden geminimaliseerd. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Hoe te verhelpen
Update OpenClaw naar versie 2026.3.11 of hoger. Deze versie corrigeert de goedkeuringsbypass kwetsbaarheid door de veranderlijke bestandsoperanden correct te valideren voor alle script runners.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-32978 in openclaw?
openclaw is een tool voor het beheren en uitvoeren van scripts in Node.js-omgevingen.
Ben ik getroffen door CVE-2026-32978 in openclaw?
Controleer de versie van openclaw die u gebruikt. Als deze vóór 2026.3.11 ligt, bent u getroffen.
Hoe los ik CVE-2026-32978 in openclaw op?
Elke code die kan worden uitgevoerd door de gebruikte script runner (bijv. systeemcommando's, bestandstoegang, enz.).
Wordt CVE-2026-32978 actief misbruikt?
Het tijdelijk uitschakelen van de functie system.run of het beperken van de bestandstoegangsrechten die door script runners worden gebruikt, kan het risico verminderen, maar is geen ideale oplossing.
Waar vind ik het officiële openclaw-beveiligingsadvies voor CVE-2026-32978?
Raadpleeg de officiële documentatie van openclaw en relevante veiligheidsbronnen voor actuele informatie.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.