Platform
nodejs
Component
openclaw
Opgelost in
2026.3.13
CVE-2026-32987 is een kritieke bootstrap replay kwetsbaarheid in OpenClaw. Met een CVSS score van 9.8, maakt deze kwetsbaarheid privilege escalatie mogelijk. Dit kan leiden tot ongeautoriseerde toegang. OpenClaw versies 0 tot en met 2026.3.13 zijn kwetsbaar. De fix is beschikbaar in versie 2026.3.13.
CVE-2026-32987 in OpenClaw, met een CVSS-score van 9.8, stelt aanvallers in staat om bootstrap-setupcodes opnieuw te gebruiken tijdens de apparaatpaaringsverificatie in src/infra/device-bootstrap.ts. Een aanvaller kan een geldige bootstrap-code meerdere keren verifiëren voordat deze wordt goedgekeurd, waardoor uitstaande pairing-scopes worden geëscaleerd, inclusief de escalatie van privileges naar operator.admin. Dit vormt een kritiek beveiligingsrisico, waardoor een aanvaller mogelijk de volledige controle krijgt over OpenClaw-apparaten en -configuraties.
Het exploiteren van deze kwetsbaarheid vereist toegang tot de apparaatpairing-infrastructuur van OpenClaw. Een aanvaller kan deze toegang verkrijgen via social engineering, malware of door andere kwetsbaarheden binnen het systeem te exploiteren. Het opnieuw gebruiken van de bootstrap-code stelt de aanvaller in staat om zich voor te doen als een legitiem apparaat en authenticatie- en autorisatiemechanismen te omzeilen. Het ontbreken van een juiste validatie van de bootstrap-code voordat deze wordt goedgekeurd, vergemakkelijkt de escalatie van privileges.
Organizations heavily reliant on OpenClaw for critical infrastructure or sensitive data are at the highest risk. Specifically, deployments with weak device pairing policies or those using shared hosting environments where multiple users share resources are particularly vulnerable. Any environment where operator.admin privileges are required for critical operations is at risk.
• nodejs: Use npm audit to check for vulnerabilities in OpenClaw dependencies.
npm audit opencrawler• nodejs: Monitor OpenClaw logs for repeated attempts to verify bootstrap codes from the same source IP address.
journalctl -u opencrawler -f | grep "bootstrap code verification failed"• generic web: Monitor access logs for requests related to device pairing endpoints, looking for unusual patterns or repeated requests. • generic web: Examine OpenClaw configuration files for any insecure settings related to bootstrap code verification.
disclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is het upgraden van OpenClaw naar versie 2026.3.13 of hoger. Deze versie bevat een correctie die het opnieuw gebruiken van bootstrap-codes voorkomt. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico op uitbuiting te beperken. Controleer de auditlogboeken op verdachte activiteiten met betrekking tot apparaatpairing voordat u de update uitvoert. Het implementeren van beleid voor de rotatie van bootstrap-sleutels kan de beveiligingshouding verder verbeteren.
Update OpenClaw naar versie 2026.3.13 of hoger. Deze versie verhelpt de replay kwetsbaarheid van bootstrap setup codes tijdens device pairing.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een bootstrap-code is een sleutel of code die wordt gebruikt om een apparaat aanvankelijk te configureren en een beveiligde verbinding met het OpenClaw-systeem tot stand te brengen.
Als u een versie van OpenClaw gebruikt die vóór 2026.3.13 is uitgebracht, is deze kwetsbaar voor deze kwetsbaarheid. Controleer de geïnstalleerde versie op uw systeem.
Operator.admin-privileges verlenen de volledige controle over het OpenClaw-systeem, inclusief apparaatconfiguratie, gebruikersbeheer en toegang tot gevoelige gegevens.
Momenteel zijn er geen specifieke tools om het opnieuw gebruiken van bootstrap-codes te detecteren. Het controleren van de auditlogboeken kan helpen bij het identificeren van verdachte patronen.
Als u vermoedt dat uw systeem is gecompromitteerd, isoleer het getroffen apparaat dan onmiddellijk van het netwerk, wijzig wachtwoorden en voer een forensisch onderzoek uit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.