Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.19
2026.2.19
A vulnerabilidade CVE-2026-32030 é uma falha de Execução Remota de Código (RCE) presente no componente openclaw para Node.js. Essa falha ocorre devido à aceitação de caminhos absolutos arbitrários durante a busca de anexos remotos do iMessage, permitindo que um atacante copie arquivos do sistema remoto. Versões afetadas incluem aquelas até a 2026.2.17, com uma correção pendente para a próxima versão.
Um atacante pode explorar essa vulnerabilidade habilitando a busca remota de anexos do iMessage (channels.imessage.remoteHost) e fornecendo um caminho absoluto arbitrário. O openclaw, ao tentar copiar o arquivo para um diretório de staging, utilizará o SCP para transferir o arquivo especificado, permitindo que o atacante copie arquivos fora dos diretórios esperados de anexos do iMessage. O impacto primário é a violação de confidencialidade, pois o atacante pode acessar arquivos sensíveis no sistema remoto. A exploração bem-sucedida pode levar à exfiltração de dados confidenciais, comprometimento do sistema e, potencialmente, ao controle total do servidor.
A vulnerabilidade foi divulgada em 03 de março de 2026. Ainda não há informações sobre exploração ativa em campanhas, mas a existência de uma RCE com potencial de acesso a arquivos arbitrários a torna um alvo atraente. A ausência de um PoC público não elimina o risco, mas indica um nível de complexidade maior para a exploração. A avaliação de risco é considerada média, dada a natureza da vulnerabilidade e a falta de evidências de exploração em larga escala.
Applications utilizing openclaw for iMessage integration, particularly those with channels.imessage.remoteHost enabled, are at risk. Shared hosting environments where multiple applications share the same server and file system are also potentially vulnerable, as a compromise in one application could lead to the exposure of data from others.
• nodejs / supply-chain:
npm list openclaw• nodejs / supply-chain:
npm audit openclaw• generic web:
Inspect Node.js application configuration files for the presence of channels.imessage.remoteHost set to true.
disclosure
patch
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
Como a correção definitiva está pendente, a mitigação imediata envolve desabilitar a busca remota de anexos do iMessage (channels.imessage.remoteHost) na configuração do openclaw. Essa medida impede que a vulnerabilidade seja explorada, mas pode afetar a funcionalidade do aplicativo. Considere implementar regras de firewall ou proxy para restringir o acesso ao componente openclaw, limitando a superfície de ataque. Monitore logs de sistema e de aplicação em busca de atividades suspeitas, como tentativas de acesso a arquivos fora dos diretórios esperados. Após a atualização para a versão corrigida (2026.2.19), confirme a correção verificando se a busca remota de anexos está desabilitada e se não há erros relacionados à validação de caminhos de arquivos.
Actualice OpenClaw a la versión 2026.2.19 o posterior. Esto corrige la vulnerabilidad de path traversal en la función stageSandboxMedia al validar correctamente las rutas de los archivos adjuntos remotos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32030 is a HIGH severity vulnerability in openclaw affecting versions up to 2026.2.17. It allows attackers to stage arbitrary files via SCP, potentially exposing confidential data if iMessage remote attachment fetching is enabled.
You are affected if you are using openclaw versions up to 2026.2.17 and have channels.imessage.remoteHost enabled. Check your installed version with npm list openclaw.
Upgrade openclaw to version 2026.2.19 or later. Alternatively, disable channels.imessage.remoteHost to prevent remote attachment fetching.
As of now, there are no confirmed reports of active exploitation. However, the vulnerability's potential impact warrants prompt remediation.
Refer to the openclaw project's release notes and repository for the latest information and advisory regarding CVE-2026-32030.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.