Platform
nodejs
Component
openclaw
Opgelost in
2026.3.25
2026.3.28
CVE-2026-35629 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de openclaw Node.js package. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om ongeautoriseerde toegang te krijgen tot interne bronnen binnen het systeem. De kwetsbaarheid treedt op in versies van openclaw tot en met 2026.3.24 en is verholpen in versie 2026.3.25.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om verzoeken uit te voeren vanuit de server, alsof ze afkomstig zijn van de server zelf. Dit kan leiden tot ongeautoriseerde toegang tot interne services, databases en andere gevoelige bronnen die normaal gesproken niet toegankelijk zijn vanaf het openbare internet. De aanvaller kan bijvoorbeeld interne API's benaderen, cloud metadata ophalen of zelfs pogingen doen om andere systemen binnen het netwerk te compromitteren. Dit is vergelijkbaar met SSRF-aanvallen die in andere contexten zijn waargenomen, waarbij interne diensten worden blootgesteld door middel van misconfiguraties.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes op dit moment. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat wijst op een potentieel risico. Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op misbruik vergroot.
Applications utilizing the openclaw Node.js package in their backend infrastructure are at risk. This includes projects relying on openclaw for channel extension functionality, particularly those with configurations allowing for flexible base URL settings. Shared hosting environments where openclaw is installed and configured by the hosting provider are also potentially vulnerable.
• nodejs / server:
npm list openclawThis command will list installed versions of openclaw. Check if the version is <= 2026.3.24. • nodejs / server:
grep -r 'fetchWithSsrFGuard' ./node_modules/openclaw/Search for the fetchWithSsrFGuard function within the openclaw module. Its presence indicates the fix is applied.
• generic web:
Review application logs for unusual outbound requests originating from the server, especially those targeting internal IP addresses or sensitive internal endpoints.
disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-35629 is het upgraden van de openclaw package naar versie 2026.3.28 of hoger. Indien een directe upgrade niet mogelijk is vanwege compatibiliteitsproblemen, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels om externe verzoeken te beperken. Controleer de configuratie van de base URLs in openclaw en zorg ervoor dat deze niet worden gebruikt om toegang te krijgen tot interne bronnen. Het monitoren van netwerkverkeer op ongebruikelijke verzoeken kan ook helpen bij het detecteren van pogingen tot exploitatie.
Actualiseer OpenClaw naar versie 2026.3.25 of hoger om de server-side request forgery (SSRF) kwetsbaarheid te mitigeren. Deze update corrigeert de onbeschermde fetch() aanroepen in de channel extensions, waardoor ongeautoriseerde toegang tot beperkte resources wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35629 is a HIGH severity Server-Side Request Forgery (SSRF) vulnerability in the openclaw Node.js package, allowing attackers to access internal resources.
Yes, if you are using openclaw versions 2026.3.24 or earlier, you are affected by this SSRF vulnerability.
Upgrade openclaw to version 2026.3.28 or later. Consider WAF rules to restrict outbound requests as a temporary workaround.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is being actively investigated.
Refer to the openclaw project's repository and associated security advisories for the latest information: [https://github.com/openclaw/openclaw](https://github.com/openclaw/openclaw)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.