Platform
nodejs
Component
openclaw
Opgelost in
2026.3.11
2026.3.11
CVE-2026-32978 is een high-severity approval integrity kwetsbaarheid in OpenClaw. Met een CVSS score van 8, maakt deze kwetsbaarheid het mogelijk om goedgekeurde script commando's te herschrijven. Dit kan leiden tot de uitvoering van gewijzigde code. OpenClaw versies 0 tot en met 2026.3.11 zijn kwetsbaar. De fix is beschikbaar in versie 2026.3.11.
CVE-2026-32978 in openclaw stelt een aanvaller in staat om kwaadaardige code uit te voeren in een reeds goedgekeurde omgeving. Specifiek bindt het system.run-goedkeuringssysteem in node-host geen mutabele bestand operand correct bij het gebruik van script runners zoals tsx of jiti. Dit betekent dat een aanvaller goedkeuring kan verkrijgen voor een schijnbaar onschuldige script runner-commando, het referentiële script op schijf overschrijven en vervolgens de gewijzigde code uitvoeren in de reeds goedgekeurde uitvoercontext. Het risico is vooral groot in omgevingen waar system.run wordt gebruikt om de integriteit van scripts te waarborgen, aangezien dit beveiligingsmechanisme wordt gecompromitteerd.
Het exploiteren van deze kwetsbaarheid vereist toegang tot het systeem waarop openclaw wordt uitgevoerd en de mogelijkheid om bestanden op schijf te wijzigen. Een aanvaller kan deze kwetsbaarheid benutten als hij/zij aanvankelijk goedkeuring kan krijgen voor een onschuldige script runner. Zodra de goedkeuring is verleend, kan de aanvaller het oorspronkelijke script vervangen door een kwaadaardige versie, die vervolgens wordt uitgevoerd met de rechten van de goedgekeurde uitvoercontext. De complexiteit van de exploitatie hangt af van de bestaande beveiligingsmaatregelen in het systeem, zoals bestandsrechten en toegangscontrolebeleid. De kwetsbaarheid is ernstiger in omgevingen waar system.run wordt vertrouwd voor de uitvoering van kritieke scripts.
Organizations heavily reliant on openclaw for Node.js host management, particularly those using system.run for automated scripting and deployments, are at significant risk. Environments with lax file access controls or shared hosting configurations where multiple users can potentially modify script files are especially vulnerable.
• nodejs / supply-chain:
Get-Process -Name openclaw | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openclaw*'} | Select-Object -ExpandProperty Actions• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='openclaw'" -Newest 10disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-32978 is het upgraden naar versie 2026.3.11 of hoger van openclaw. Deze versie corrigeert de fout bij het binden van de bestand operand, waardoor ervoor wordt gezorgd dat de scripts die in system.run-commando's worden gebruikt, de verwachte zijn en niet door een aanvaller kunnen worden gewijzigd. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen, vooral in productieomgevingen. Controleer bovendien de system.run-goedkeuringsbeleid om ervoor te zorgen dat best practices voor beveiliging worden toegepast en dat de risico's van de uitvoering van ongeautoriseerde code worden geminimaliseerd. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Update OpenClaw naar versie 2026.3.11 of hoger. Deze versie corrigeert de goedkeuringsbypass kwetsbaarheid door de veranderlijke bestandsoperanden correct te valideren voor alle script runners.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
openclaw is een tool voor het beheren en uitvoeren van scripts in Node.js-omgevingen.
Controleer de versie van openclaw die u gebruikt. Als deze vóór 2026.3.11 ligt, bent u getroffen.
Elke code die kan worden uitgevoerd door de gebruikte script runner (bijv. systeemcommando's, bestandstoegang, enz.).
Het tijdelijk uitschakelen van de functie system.run of het beperken van de bestandstoegangsrechten die door script runners worden gebruikt, kan het risico verminderen, maar is geen ideale oplossing.
Raadpleeg de officiële documentatie van openclaw en relevante veiligheidsbronnen voor actuele informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.