Platform
nodejs
Component
openclaw
Opgelost in
2026.3.11
2026.3.11
CVE-2026-32918 beschrijft een session sandbox escape kwetsbaarheid in OpenClaw. Deze kwetsbaarheid maakt het mogelijk voor subagents om toegang te krijgen tot parent of sibling session state. De getroffen versies zijn 0–2026.3.11. De kwetsbaarheid is verholpen in versie 2026.3.11.
CVE-2026-32918 in OpenClaw beïnvloedt de interne tool session_status, die de sessiestergrenzen niet correct handhaafde. Een gesandboxede subagent kon de sessionKey van een andere sessie verstrekken en zo de status buiten zijn eigen sandbox-bereik inzien of wijzigen. Dit vormt een aanzienlijk beveiligingsrisico, aangezien een kwaadwillende subagent toegang kan krijgen tot gevoelige informatie of zelfs het gedrag van andere sessies kan veranderen.
Het exploiteren van deze kwetsbaarheid vereist dat een gesandboxede subagent in staat is om de sessionKey van een andere sessie te verkrijgen. Dit kan het geval zijn als de sandbox-configuratie onjuist is of als andere kwetsbaarheden bestaan die een subagent in staat stellen uit zijn geïsoleerde omgeving te breken. Zodra de aanvaller de sessionKey heeft, kan deze deze gebruiken om gegevens in de doelsessie te lezen of te wijzigen, inclusief persistente modellen.
Applications and services relying on openclaw for sandboxing and session management are at risk. This includes systems where subagents are used to extend the functionality of the main application, particularly those handling sensitive user data or financial transactions. Organizations using legacy openclaw configurations or those with limited resources for timely patching are particularly vulnerable.
• nodejs:
npm list openclawThis command will list installed openclaw versions. Check if the version is <= 2026.3.8. • nodejs:
find / -name "openclaw*" -type d -printThis command searches for openclaw related directories, which may indicate installation locations. • generic web: Review openclaw logs for unusual session activity or attempts to access data outside the expected scope. Look for patterns indicative of a sandboxed subagent attempting to access other session keys.
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
Om dit risico te beperken, wordt aanbevolen OpenClaw te updaten naar versie 2026.3.11 of hoger. Deze versie bevat een correctie die de handhaving van de sessiestergrenzen versterkt en zo ongeautoriseerde toegang tot gegevens van andere sessies voorkomt. Controleer bovendien de configuratie van gesandboxede subagenten om ervoor te zorgen dat ze alleen toegang hebben tot de resources die nodig zijn voor hun werking, waardoor de aanvalsoppervlakte wordt geminimaliseerd. De update is de meest effectieve oplossing en wordt ten zeerste aanbevolen.
Update OpenClaw naar versie 2026.3.11 of hoger. Deze versie corrigeert de sessie sandbox escape kwetsbaarheid in de session_status tool.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OpenClaw is een framework voor het uitvoeren van AI-agenten in gesandboxede omgevingen.
Een sandbox is een geïsoleerde omgeving die de toegang van een agent tot systeembronnen beperkt en voorkomt dat deze schade aanricht of toegang krijgt tot vertrouwelijke informatie.
U kunt uw OpenClaw-versie controleren door de opdracht openclaw --version in de opdrachtregel uit te voeren.
Als u niet direct kunt updaten, overweeg dan om de toegang van gesandboxede subagenten tot systeembronnen te beperken en de sessieactiviteit te volgen op verdacht gedrag.
U kunt meer informatie over deze kwetsbaarheid vinden in de officiële OpenClaw-documentatie en in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.