Platform
python
Component
openclaw
Opgelost in
2026.3.11
CVE-2026-32973 is een kritieke exec allowlist bypass kwetsbaarheid in OpenClaw. Met een CVSS score van 9.8, maakt deze kwetsbaarheid het mogelijk om ongeautoriseerde commando's uit te voeren. Dit kan leiden tot controleverlies over het systeem. OpenClaw versies 0 tot en met 2026.3.11 zijn kwetsbaar. De fix is beschikbaar in versie 2026.3.11.
De CVE-2026-32973 kwetsbaarheid in OpenClaw, met een CVSS score van 9.8, vormt een kritiek risico. Het komt door een fout in de functie matchesExecAllowlistPattern die patronen niet correct normaliseert, wat leidt tot een exec allowlist omzeiling. Specifiek zet de functie om naar kleine letters en gebruikt het glob matching op een manier die overmatcht op POSIX paden. Aanvallers kunnen dit uitbuiten door de '?' wildcard te gebruiken om padsegmenten op onbedoelde manieren te matchen. Dit maakt het mogelijk om commando's uit te voeren of toegang te krijgen tot bestanden die niet bedoeld waren om toegankelijk te zijn, waardoor de beveiliging van het systeem wordt aangetast. De ernst van het probleem ligt in de gemakkelijke uitbuitbaarheid en de potentiële impact op de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem.
De kwetsbaarheid wordt uitgebuit door te profiteren van de manier waarop OpenClaw wildcards in bestandspaden interpreteert. De '?' wildcard stelt een aanvaller in staat om elk teken in een padsegment te matchen. Vanwege incorrecte normalisatie (omzetting naar kleine letters) en glob matching logica, kan een aanvaller een pad construeren dat overeenkomt met een beoogd execution permission patroon, maar in werkelijkheid naar een ander bestand of directory wijst, waardoor ongeautoriseerde commando-uitvoering mogelijk wordt. De kwetsbaarheid is vooral zorgwekkend in omgevingen waar OpenClaw wordt gebruikt om door de gebruiker aangeleverde code uit te voeren, aangezien een aanvaller kwaadaardige code kan injecteren die wordt uitgevoerd met de privileges van OpenClaw.
Organizations deploying OpenClaw for any purpose, particularly those using it in environments with untrusted input or where command execution is a core functionality, are at risk. This includes users relying on OpenClaw for data processing, scripting, or automation tasks where user-provided data influences command execution paths.
• python / server:
import os
import subprocess
def check_claw_version():
try:
result = subprocess.run(['openclaw', '--version'], capture_output=True, text=True, check=True)
version = result.stdout.strip()
if version and float(version.split('.')[2]) < 11:
print(f"OpenClaw version is vulnerable: {version}")
else:
print(f"OpenClaw version is patched: {version}")
except FileNotFoundError:
print("OpenClaw not found.")
except subprocess.CalledProcessError as e:
print(f"Error checking version: {e}")
check_claw_version()• generic web: Examine OpenClaw logs for unusual command execution attempts, especially those containing wildcard characters or unexpected path segments.
disclosure
Exploit Status
EPSS
0.07% (23% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-32973 te mitigeren is het updaten van OpenClaw naar versie 2026.3.11 of hoger. Deze versie corrigeert hoe matchesExecAllowlistPattern overeenkomende patronen verwerkt, waardoor path overmatching wordt voorkomen. Tijdens het toepassen van de update wordt aanbevolen om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van uitvoeringsrechten tot noodzakelijke gebruikers en processen, en het monitoren van het systeem op verdachte activiteiten. Het tijdig toepassen van deze update is cruciaal om OpenClaw-systemen te beschermen tegen potentiële aanvallen. Het niet updaten laat het systeem kwetsbaar voor uitbuiting achter.
Update OpenClaw naar versie 2026.3.11 of hoger. Dit verhelpt de exec allowlist bypass kwetsbaarheid door onjuiste normalisatie van patronen met wildcard matching op POSIX paths.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OpenClaw is een open-source simulatie engine voor computer role-playing games (CRPGs).
De CVSS score van 9.8 duidt op een kritieke kwetsbaarheid die gemakkelijk te exploiteren is en aanzienlijke gevolgen kan hebben voor de beveiliging van het systeem.
Beperk in de tussentijd de uitvoeringsrechten en monitor het systeem op verdachte activiteiten.
Het updaten naar versie 2026.3.11 of hoger is de aanbevolen oplossing. Er zijn geen haalbare workarounds.
Raadpleeg de officiële OpenClaw documentatie en beveiligingsadviezen met betrekking tot CVE-2026-32973.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.