Platform
nodejs
Component
openclaw
Opgelost in
2026.2.18
CVE-2026-3689 is een Path Traversal kwetsbaarheid in OpenClaw, een softwarecomponent. Deze kwetsbaarheid stelt een aanvaller in staat om gevoelige informatie te onthullen door middel van ongevalideerde padparameters. De kwetsbaarheid treedt op in de canvas gateway endpoint en vereist authenticatie om te worden misbruikt. Beïnvloedde versies zijn 2026.2.17 en hoger; een beveiligde versie is momenteel in ontwikkeling.
Een succesvolle exploitatie van CVE-2026-3689 kan leiden tot de onthulling van gevoelige informatie die toegankelijk is voor de service account onder de welke OpenClaw draait. Dit kan omvatten configuratiebestanden, logbestanden, of andere data die de werking van de applicatie beïnvloeden. De impact is verhoogd omdat authenticatie vereist is, maar eenmaal binnen, kan de aanvaller potentieel toegang krijgen tot kritieke data. De ernst van de impact hangt af van de gevoeligheid van de informatie die wordt blootgesteld en de privileges van de service account. Hoewel er geen directe RCE (Remote Code Execution) mogelijk is, kan de blootgestelde informatie gebruikt worden voor verdere aanvallen, zoals het verkrijgen van credentials of het uitvoeren van privilege escalation.
CVE-2026-3689 werd gerapporteerd op 2026-04-11 en is gemeld via ZDI-CAN-29312. De EPSS score is momenteel niet bekend, maar gezien de vereiste authenticatie en de informatie disclosure impact, wordt een medium risico aangenomen. Er zijn momenteel geen publiekelijk beschikbare Proof-of-Concept (POC) exploits bekend, maar de kwetsbaarheid is inherent en kan relatief eenvoudig te exploiteren zijn voor een ervaren aanvaller. De NVD (National Vulnerability Database) en CISA (Cybersecurity and Infrastructure Security Agency) hebben deze kwetsbaarheid nog niet officieel opgenomen.
Organizations deploying OpenClaw, particularly those with publicly accessible canvas gateway endpoints, are at risk. Shared hosting environments where multiple users share the same OpenClaw instance are also particularly vulnerable, as an attacker compromising one user's account could potentially exploit this vulnerability to access data belonging to other users.
• linux / server:
journalctl -u openclaw -g 'canvas gateway' | grep -i "path traversal"• linux / server:
lsof -p $(pidof openclaw) | grep /path/to/sensitive/file• generic web:
curl -I http://your-openclaw-server/canvas/path/../sensitive/file.txtdisclosure
Exploit Status
EPSS
0.28% (51% percentiel)
CISA SSVC
CVSS-vector
Omdat er momenteel geen beveiligde versie beschikbaar is, zijn mitigaties gericht op het beperken van de impact. Implementeer strikte toegangscontroles op de canvas gateway endpoint om de toegang te beperken tot geautoriseerde gebruikers. Valideer alle padparameters grondig voordat ze worden gebruikt in file operations. Overweeg het gebruik van een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren. Configureer de WAF om pad traversal pogingen te detecteren en te blokkeren. Monitor de logbestanden van OpenClaw op verdachte activiteiten, zoals ongebruikelijke file access pogingen. Zodra een beveiligde versie beschikbaar is, upgrade OpenClaw onmiddellijk. Na de upgrade, controleer de logbestanden om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice OpenClaw a la versión corregida para mitigar la vulnerabilidad de recorrido de directorios. Verifique y fortalezca la validación de las rutas de usuario en el código fuente para prevenir futuros ataques. Implemente controles de acceso estrictos para limitar el acceso a archivos sensibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-3689 is a vulnerability in OpenClaw versions 2026.2.17 and earlier that allows attackers to disclose sensitive information by manipulating file paths. It's classified as a Path Traversal vulnerability with a Medium severity rating.
If you are running OpenClaw version 2026.2.17 or earlier, you are potentially affected by this vulnerability. Check your OpenClaw version and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of OpenClaw. Until a patch is available, implement temporary workarounds like restricting access and validating input parameters.
As of the current assessment, there are no confirmed reports of active exploitation. However, due to the nature of path traversal vulnerabilities, exploitation is possible if a public proof-of-concept is released.
Refer to the OpenClaw project's official website and security advisories for the latest information and updates regarding CVE-2026-3689.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.