Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.12
A vulnerabilidade CVE-2026-32914 afeta o OpenClaw em versões anteriores a 2026.3.12. Esta falha de controle de acesso permite que usuários não proprietários, que possuem autorização de comando, acessem e potencialmente modifiquem configurações sensíveis que deveriam ser restritas a proprietários. A correção foi lançada em 2026.3.12, e a aplicação imediata da atualização é recomendada para evitar exploração.
Um atacante que explore esta vulnerabilidade pode obter acesso não autorizado a configurações críticas do OpenClaw. Isso pode incluir a modificação de parâmetros de sistema, a alteração de permissões de acesso ou a manipulação de dados sensíveis. A exploração bem-sucedida pode levar a uma comprometimento significativo da integridade e confidencialidade do sistema OpenClaw. A falta de controles de acesso adequados permite que um usuário com privilégios limitados eleve seus privilégios e execute ações que normalmente estariam fora de seu alcance, potencialmente causando interrupções no serviço ou perda de dados.
A vulnerabilidade foi divulgada em 2026-03-29. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. Não foram identificados Proof of Concepts (PoCs) públicos. A avaliação de risco é moderada, dada a falta de evidências de exploração ativa, mas a gravidade da vulnerabilidade (CVSS 8.8) justifica uma atenção imediata.
Organizations deploying OpenClaw in environments where command authorization is broadly granted are at risk. This includes systems with shared accounts or where user access controls are not strictly enforced. Environments utilizing OpenClaw for critical infrastructure or sensitive data processing are particularly vulnerable.
disclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-32914 é a atualização imediata para a versão 2026.3.12 ou superior do OpenClaw. Se a atualização imediata não for possível, considere restringir o acesso aos comandos /config e /debug apenas a usuários proprietários através de regras de firewall ou listas de controle de acesso (ACLs). Monitore logs de auditoria em busca de tentativas de acesso não autorizado a esses comandos. Após a atualização, verifique a configuração do OpenClaw para garantir que as permissões de acesso estejam corretamente definidas e que apenas usuários autorizados possam modificar as configurações críticas.
Atualize o OpenClaw para a versão 2026.3.12 ou posterior. Esta versão corrige a vulnerabilidade de controle de acesso insuficiente nos endpoints /config e /debug, impedindo que usuários não autorizados acessem configurações privilegiadas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32914 is a HIGH severity vulnerability in OpenClaw versions 0–2026.3.12 that allows unauthorized users to access and modify privileged configuration settings.
You are affected if you are running OpenClaw versions 0 through 2026.3.11. Upgrade to 2026.3.12 to mitigate the risk.
Upgrade OpenClaw to version 2026.3.12 or later. As a temporary workaround, restrict access to the /config and /debug endpoints.
There is currently no evidence of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the OpenClaw project's official website and security advisories for the latest information and updates regarding CVE-2026-32914.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.