Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.11
A vulnerabilidade CVE-2026-32915 permite um bypass de sandbox no OpenClaw, onde subagentes podem acessar a superfície de controle de outros subagentes. Isso permite que um trabalhador leaf com baixos privilégios possa manipular ou encerrar execuções de outros processos, causando execução com políticas de ferramentas mais amplas. Afeta versões do OpenClaw anteriores a 2026.3.11. A vulnerabilidade foi corrigida na versão 2026.3.11.
A vulnerabilidade CVE-2026-32915 no OpenClaw, com uma pontuação CVSS de 8.8, permite que subagentes folha (leaf subagents) contornem as fronteiras da sandbox. Isso significa que eles podem acessar a superfície de controle dos subagentes e resolver no escopo do requisitante pai em vez de sua própria árvore de sessão. Um trabalhador sandbox de baixo privilégio pode direcionar ou encerrar execuções de irmãos e causar a execução com políticas de ferramentas mais amplas, explorando verificações de autorização insuficientes em solicitações de controle de subagentes. O impacto principal é a potencial escalada de privilégios dentro do ambiente sandbox, permitindo que um ator malicioso influencie a execução de outros processos e acesse recursos que normalmente estariam restritos.
A exploração desta vulnerabilidade requer que um subagente folha tenha acesso ao sistema e seja capaz de enviar solicitações de controle ao sistema de subagentes. Como o OpenClaw é usado em ambientes de computação de alto desempenho e simulação, os subagentes geralmente são executados em ambientes isolados. No entanto, se um atacante conseguir comprometer um subagente folha, ele pode usar esta vulnerabilidade para obter controle significativo sobre o ambiente OpenClaw. A complexidade da exploração depende da configuração específica do OpenClaw e das políticas de controle de acesso implementadas.
Organizations and individuals relying on OpenClaw for sandboxed execution environments are at risk. This includes those using OpenClaw for secure computation, data processing, or running untrusted code. Specifically, deployments with complex subagent hierarchies and relaxed access control policies are particularly vulnerable.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-32915 é atualizar o OpenClaw para a versão 2026.3.11 ou posterior. Esta versão inclui correções para abordar as verificações de autorização deficientes que permitem a contornar a sandbox. Recomenda-se aplicar esta atualização o mais rápido possível, especialmente em ambientes onde a segurança da sandbox é crítica. Além disso, revise as políticas de controle de acesso do OpenClaw para garantir que o princípio do menor privilégio seja aplicado. Monitorar os logs do OpenClaw em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis exploits.
Actualice OpenClaw a la versión 2026.3.11 o posterior. Esta versión corrige la vulnerabilidad de omisión de límites de sandbox al implementar comprobaciones de autorización adecuadas en las solicitudes de control de subagentes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OpenClaw é um simulador de física de código aberto projetado para simular a dinâmica de fluidos e outros fenômenos físicos complexos.
Uma sandbox é um ambiente isolado que restringe o acesso de um programa aos recursos do sistema. No OpenClaw, as sandboxes são usadas para isolar os subagentes e evitar que interfiram uns nos outros.
Verifique sua versão do OpenClaw. Se for anterior a 2026.3.11, você é vulnerável. Consulte a documentação do OpenClaw para obter instruções sobre como verificar a versão.
Se não puder atualizar imediatamente, considere implementar controles de acesso mais rígidos e monitorar os logs do OpenClaw em busca de atividades suspeitas.
Consulte o aviso de segurança do OpenClaw e as bases de dados de vulnerabilidades, como o National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.