Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.24
2026.2.24
Uma vulnerabilidade de bypass na validação de caminhos foi descoberta no OpenClaw, permitindo que caminhos absolutos @-prefixados contornassem as verificações de limite do sistema de arquivos. Essa falha pode levar à leitura de arquivos fora do workspace pretendido, comprometendo a confidencialidade dos dados. A vulnerabilidade afeta versões anteriores a 2026.2.24 e foi corrigida nesta versão.
O impacto desta vulnerabilidade reside na possibilidade de um atacante ler arquivos fora do diretório de trabalho esperado. Quando tools.fs.workspaceOnly=true, o uso de caminhos absolutos @-prefixados, como @/etc/passwd, pode ser validado antes da normalização do caminho em tempo de execução. Essa discrepância permite que o atacante acesse arquivos sensíveis, como arquivos de configuração do sistema ou dados de usuários, que não deveriam ser acessíveis. A exploração bem-sucedida depende da configuração específica do OpenClaw e da presença de arquivos acessíveis fora do workspace.
A vulnerabilidade foi divulgada em 2026-03-03. Não há evidências de exploração ativa no momento da divulgação. A pontuação CVSS de 7.5 (HIGH) indica um risco significativo. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um SECURITY.md sugere que os desenvolvedores estão cientes da importância da segurança.
Users who have enabled tools.fs.workspaceOnly=true in their OpenClaw configuration and are running versions prior to 2026.2.24 are at increased risk. This includes developers and users who rely on OpenClaw for personal-assistant runtime tasks and have configured it with non-default sandbox/tooling settings.
• nodejs: Monitor OpenClaw process arguments for suspicious @-prefixed absolute paths. Use ps aux | grep claw to identify running processes and examine their command-line arguments for patterns like @/etc/passwd.
ps aux | grep claw | grep '@'• generic web: Examine access logs for requests containing @-prefixed absolute paths. Look for patterns like /tools/some_tool?path=@/etc/passwd.
grep '@/etc/passwd' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o OpenClaw para a versão 2026.2.24 ou superior, que inclui a correção. Como uma medida temporária, considere restringir o acesso a arquivos sensíveis fora do workspace, se possível. Monitore os logs do OpenClaw em busca de tentativas de acesso a arquivos fora do diretório de trabalho esperado. A implementação de um sistema de detecção de intrusão (IDS) pode ajudar a identificar e bloquear atividades maliciosas.
Actualice OpenClaw a la versión 2026.2.24 o posterior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente las rutas con prefijo @ dentro del límite del espacio de trabajo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32033 is a vulnerability in OpenClaw where a file-system guard mismatch allows attackers to bypass validation using @-prefixed paths, potentially leading to unauthorized file access.
You are affected if you are using OpenClaw versions prior to 2026.2.24 and have tools.fs.workspaceOnly=true enabled.
Upgrade OpenClaw to version 2026.2.24 or later to resolve this vulnerability. Review and tighten sandbox/tooling configurations as a temporary workaround.
Currently, there is no confirmed active exploitation of CVE-2026-32033, but vigilance is advised.
Refer to the OpenClaw SECURITY.md file for details on this vulnerability and mitigation steps.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.