OpenClaw < 2026.3.11 - Ignorar Aprovação via Executores de Script Não Reconhecidos
Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.11
2026.3.11
CVE-2026-32978 é uma falha de integridade em aprovações no OpenClaw. A vulnerabilidade permite que atacantes obtenham aprovação para comandos de script benignos, reescrevam scripts referenciados e executem código modificado. Afeta versões do OpenClaw anteriores a 2026.3.11. A vulnerabilidade foi corrigida na versão 2026.3.11.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-32978 em openclaw permite que um atacante execute código malicioso em um ambiente já aprovado. Especificamente, o sistema de aprovação system.run no node-host não vincula corretamente um arquivo mutável ao usar script runners como tsx ou jiti. Isso significa que um atacante pode obter aprovação para um comando de script runner aparentemente benigno, reescrever o script no disco e, posteriormente, executar o código modificado com os privilégios do contexto de execução aprovado. O risco é particularmente alto em ambientes onde system.run é usado para garantir a integridade dos scripts, pois este mecanismo de segurança é comprometido.
Contexto de Exploração
A exploração desta vulnerabilidade requer acesso ao sistema onde openclaw está sendo executado e a capacidade de modificar arquivos no disco. Um atacante pode aproveitar esta vulnerabilidade se conseguir obter a aprovação inicial para um script runner benigno. Uma vez aprovado, o atacante pode substituir o script original por uma versão maliciosa, que seria então executada com os privilégios do contexto de execução aprovado. A complexidade da exploração depende das medidas de segurança existentes no sistema, como permissões de arquivo e políticas de controle de acesso. A vulnerabilidade é mais grave em ambientes onde system.run é confiável para a execução de scripts críticos.
Quem Está em Riscotraduzindo…
Organizations heavily reliant on openclaw for Node.js host management, particularly those using system.run for automated scripting and deployments, are at significant risk. Environments with lax file access controls or shared hosting configurations where multiple users can potentially modify script files are especially vulnerable.
Passos de Detecçãotraduzindo…
• nodejs / supply-chain:
Get-Process -Name openclaw | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openclaw*'} | Select-Object -ExpandProperty Actions• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='openclaw'" -Newest 10Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução para CVE-2026-32978 é atualizar para a versão 2026.3.11 ou superior de openclaw. Esta versão corrige a falha de vinculação do arquivo mutável, garantindo que os scripts usados nos comandos system.run sejam os esperados e não possam ser modificados por um atacante. Recomenda-se aplicar esta atualização o mais rápido possível, especialmente em ambientes de produção. Além disso, revise as políticas de aprovação de system.run para garantir que as melhores práticas de segurança estejam sendo usadas e que os riscos de execução de código não autorizado sejam minimizados. Monitorar os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Como corrigirtraduzindo…
Actualice OpenClaw a la versión 2026.3.11 o posterior. Esta versión corrige la vulnerabilidad de omisión de aprobación al vincular operandos de archivos mutables para ciertos script runners.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2026-32978 em openclaw?
openclaw é uma ferramenta para gerenciar e executar scripts em ambientes Node.js.
Estou afetado pelo CVE-2026-32978 no openclaw?
Verifique a versão de openclaw que você está usando. Se for anterior a 2026.3.11, você está vulnerável.
Como corrijo o CVE-2026-32978 no openclaw?
Qualquer código que possa ser executado pelo script runner usado (por exemplo, comandos do sistema, acesso a arquivos, etc.).
O CVE-2026-32978 está sendo explorado ativamente?
Desabilitar temporariamente a função system.run ou restringir as permissões de arquivos usados pelos script runners pode mitigar o risco, mas não é uma solução ideal.
Onde encontro o aviso oficial do openclaw para o CVE-2026-32978?
Consulte a documentação oficial de openclaw e fontes de segurança relevantes para obter informações atualizadas.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.