Platform
nodejs
Component
openclaw
Opgelost in
2026.3.28
2026.3.28
CVE-2026-33578 is een sender policy bypass kwetsbaarheid in OpenClaw. Een aanvaller kan sender restrictions omzeilen in de Google Chat en Zalouser extensions. Deze kwetsbaarheid treft versies vóór 2026.3.28. De kwetsbaarheid is verholpen in versie 2026.3.28.
CVE-2026-33578 in OpenClaw stelt ongeautoriseerde gebruikers in staat om met de bot te interageren, zelfs wanneer afzender-specifieke beperkingen zijn geconfigureerd. Specifiek, als alleen een groeps-allowlist op route-niveau was geconfigureerd (Google Chat of Zalouser), werd de afzender-policy-resolutie stilletjes van 'allowlist' naar 'open' verlaagd. Dit betekent dat elk lid van de allowlisted groep met de bot kon communiceren, waarbij de intentie van de operator om interacties te beperken tot specifieke afzenders werd omzeild.
Een aanvaller kan deze kwetsbaarheid uitbuiten als de OpenClaw-bot is geconfigureerd met een groeps-allowlist en de operator de intentie had om de toegang tot specifieke afzenders te beperken. De aanvaller, als lid van de allowlisted groep, kan zonder autorisatie met de bot interageren, waardoor de beveiliging of integriteit van de door de bot verwerkte gegevens mogelijk wordt gecompromitteerd. Exploitatie is eenvoudig en vereist geen speciale actie van de aanvaller, afgezien van het feit dat hij lid is van de toegestane groep.
Organizations using OpenClaw for Google Chat and Zalouser integrations, particularly those relying on route-level group allowlists for access control, are at risk. This includes businesses using OpenClaw for internal communication, automation, or data processing within these platforms. Shared hosting environments where multiple users share an OpenClaw instance are also at increased risk.
• nodejs: Monitor OpenClaw logs for unexpected bot interactions from users outside of expected sender groups. Use journalctl -u openclaw to filter for relevant events.
• generic web: Review Google Chat and Zalouser integration logs for unusual bot commands or data access originating from members of allowlisted groups. Examine access/error logs for patterns indicating unauthorized access.
• generic web: Check for unexpected bot activity via curl: curl -v <openclaw_endpoint> | grep -i 'unauthorized access'
disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
Om deze kwetsbaarheid te mitigeren, update OpenClaw naar versie 2026.3.28 of hoger. Deze update corrigeert het onjuiste gedrag in de afzender-policy-resolutie en zorgt ervoor dat groeps-specifieke beperkingen worden afgedwongen. Het wordt aanbevolen om uw Google Chat- en Zalouser-allowlist-configuraties te controleren om te bevestigen dat toegangsbeleid naar de update toe zoals verwacht functioneert. Het monitoren van de botactiviteit na de update is ook een goede praktijk om onverwacht gedrag te identificeren.
Update OpenClaw naar versie 2026.3.28 of later. Deze update corrigeert de sender policy bypass kwetsbaarheid in de Google Chat en Zalouser extensions.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
OpenClaw is een framework voor het bouwen van bots die met verschillende messaging-platforms zoals Google Chat en Zalouser interageren.
De update corrigeert een beveiligingskwetsbaarheid die ongeautoriseerde gebruikers in staat zou kunnen stellen om met de bot te interageren.
Controleer uw allowlist-configuraties en monitor de botactiviteit om ervoor te zorgen dat deze zoals verwacht functioneert.
Als u een versie van OpenClaw gebruikt die vóór 2026.3.28 is uitgebracht en een groeps-allowlist heeft geconfigureerd, is de kans groot dat u bent getroffen.
Nee, de update is de enige bekende oplossing voor deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.