Platform
nodejs
Component
openclaw
Opgelost in
2026.3.1
2026.3.1
CVE-2026-32041 beschrijft een authenticatieprobleem in OpenClaw, een NodeJS-component. Wanneer browser control werd gestart zonder expliciete authenticatiegegevens, probeerde OpenClaw automatisch authenticatie te bootstrappen. Bij een fout in deze stap kon de startup doorgaan en browser-control routes blootleggen zonder authenticatie. Deze kwetsbaarheid treft versies van OpenClaw vóór 2026.3.1 en is inmiddels verholpen.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een lokale process, of een SSRF (Server-Side Request Forgery) pad dat loopback-reachable is, in staat om browser-control routes te benaderen zonder authenticatie. Dit omvat potentieel 'evaluate'-acties, wat de mogelijkheid biedt om willekeurige code uit te voeren binnen de context van de browser control. De impact is significant omdat een aanvaller de browser control kan manipuleren zonder de juiste credentials, wat kan leiden tot data-exfiltratie, configuratiewijzigingen of zelfs volledige controle over de browser omgeving. Dit is vergelijkbaar met scenario's waarbij onbevoegde toegang tot beheerdersinterfaces kan leiden tot ernstige compromittering van een systeem.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-02. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de potentiële impact van SSRF-gebaseerde aanvallen maakt dit een aandachtspunt. De KEV (Cybersecurity and Infrastructure Security Agency Known Exploited Vulnerabilities) status is momenteel onbekend. De ernst is beoordeeld als Medium (CVSS 6.9).
Organizations deploying OpenClaw in environments with potential SSRF vulnerabilities are at the highest risk. This includes deployments where the OpenClaw instance has access to internal services or resources that could be leveraged for SSRF attacks. Shared hosting environments where multiple users share the same OpenClaw instance are also at increased risk.
• nodejs / server:
ps aux | grep openclaw• nodejs / server:
npm list -g openclaw• nodejs / server:
journalctl -u openclaw --since "1 hour ago"• generic web:
curl -I http://<openclaw_host>/browser-control/evaluate• generic web:
grep -r "browser-control/evaluate" /var/log/nginx/access.logdisclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar OpenClaw versie 2026.3.1 of hoger. Deze versie implementeert een 'fail closed' startup mechanisme: als de bootstrap authenticatie mislukt en er geen expliciete token/wachtwoord is geconfigureerd, wordt de browser-control startup afgebroken. Als een upgrade momenteel niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de netwerktoegankelijkheid tot de browser-control routes via een WAF (Web Application Firewall) of proxy. Controleer de configuratie van OpenClaw om er zeker van te zijn dat expliciete authenticatiegegevens zijn ingesteld en correct werken. Na de upgrade, bevestig de correcte werking door te proberen de browser-control routes te benaderen zonder geldige authenticatiegegevens; deze pogingen zouden moeten mislukken.
Werk OpenClaw bij naar versie 2026.3.1 of hoger. Dit corrigeert de kwetsbaarheid die ongeautoriseerde toegang tot de browser controleroutes mogelijk maakt als gevolg van fouten in het initiële authenticatieproces.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32041 beschrijft een kwetsbaarheid in OpenClaw waarbij browser-control routes zonder authenticatie toegankelijk konden zijn bij een mislukte automatische authenticatie. Dit stelt aanvallers in staat om potentieel code uit te voeren.
U bent getroffen als u OpenClaw gebruikt in versie 2026.3.1 of lager en geen expliciete authenticatiegegevens heeft geconfigureerd.
Upgrade OpenClaw naar versie 2026.3.1 of hoger. Zorg ervoor dat expliciete authenticatiegegevens zijn geconfigureerd.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie bekend, maar de potentiële impact maakt het een aandachtspunt.
Raadpleeg de OpenClaw documentatie en release notes voor de officiële aankondiging en details over de fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.