Plataforma
python
Componente
openclaw
Corrigido em
2026.3.11
CVE-2026-32973 é uma vulnerabilidade de bypass da allowlist de execução presente no OpenClaw. A falha permite que atacantes executem comandos ou caminhos não autorizados, explorando a correspondência inadequada de padrões com curingas em caminhos POSIX. Afeta versões do OpenClaw anteriores ou iguais a 2026.3.11. A vulnerabilidade foi corrigida na versão 2026.3.11.
A vulnerabilidade CVE-2026-32973 no OpenClaw, com uma pontuação CVSS de 9.8, representa um risco crítico. É causada por uma falha na função matchesExecAllowlistPattern que não normaliza corretamente os padrões de execução. Especificamente, a função converte para minúsculas e utiliza correspondência de curingas (glob matching) de forma incorreta ao processar caminhos POSIX. Isso permite que atacantes contornem as listas de permissão de execução (exec allowlists) utilizando o curinga '?' para fazer correspondências de segmentos de caminho inesperadas. Um atacante pode aproveitar esta vulnerabilidade para executar comandos ou acessar arquivos que não estavam destinados a ser acessíveis, comprometendo a segurança do sistema. A severidade do problema reside na facilidade de exploração e no potencial impacto na confidencialidade, integridade e disponibilidade do sistema.
A vulnerabilidade é explorada aproveitando a forma como o OpenClaw interpreta curingas em caminhos de arquivo. O curinga '?' permite que um atacante corresponda a qualquer caractere em um segmento de caminho. Devido à normalização incorreta (conversão para minúsculas) e à lógica de correspondência de curingas, um atacante pode construir um caminho que corresponda a um padrão de permissão de execução pretendido, mas que, na realidade, aponta para um arquivo ou diretório diferente, permitindo a execução de comandos não autorizados. A vulnerabilidade é particularmente preocupante em ambientes onde o OpenClaw é usado para executar código fornecido pelo usuário, pois um atacante pode injetar código malicioso que é executado com os privilégios do OpenClaw.
Organizations deploying OpenClaw for any purpose, particularly those using it in environments with untrusted input or where command execution is a core functionality, are at risk. This includes users relying on OpenClaw for data processing, scripting, or automation tasks where user-provided data influences command execution paths.
• python / server:
import os
import subprocess
def check_claw_version():
try:
result = subprocess.run(['openclaw', '--version'], capture_output=True, text=True, check=True)
version = result.stdout.strip()
if version and float(version.split('.')[2]) < 11:
print(f"OpenClaw version is vulnerable: {version}")
else:
print(f"OpenClaw version is patched: {version}")
except FileNotFoundError:
print("OpenClaw not found.")
except subprocess.CalledProcessError as e:
print(f"Error checking version: {e}")
check_claw_version()• generic web: Examine OpenClaw logs for unusual command execution attempts, especially those containing wildcard characters or unexpected path segments.
disclosure
Status do Exploit
EPSS
0.07% (percentil 23%)
CISA SSVC
Vetor CVSS
A solução para mitigar CVE-2026-32973 é atualizar o OpenClaw para a versão 2026.3.11 ou superior. Esta versão corrige a forma como matchesExecAllowlistPattern lida com os padrões de correspondência, evitando a sobreposição de caminhos. Enquanto a atualização é aplicada, recomenda-se implementar medidas de segurança adicionais, como restringir as permissões de execução aos usuários e processos necessários e monitorar o sistema em busca de atividades suspeitas. Aplicar esta atualização o mais rápido possível é crucial para proteger os sistemas OpenClaw de possíveis ataques. A falta de atualização deixa o sistema vulnerável à exploração.
Actualice la biblioteca OpenClaw a la versión 2026.3.11 o posterior. Esto corrige la vulnerabilidad de omisión de la lista de permitidos de ejecución debido a la normalización incorrecta de patrones con coincidencia de comodines en rutas POSIX.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OpenClaw é um motor de simulação de código aberto para jogos de RPG de computador (CRPGs).
A pontuação CVSS de 9.8 indica uma vulnerabilidade crítica que é fácil de explorar e pode ter um impacto significativo na segurança do sistema.
Enquanto isso, restrinja as permissões de execução e monitore o sistema em busca de atividades suspeitas.
Atualizar para a versão 2026.3.11 ou superior é a solução recomendada. Não existem soluções alternativas viáveis.
Consulte a documentação oficial do OpenClaw e os avisos de segurança relacionados ao CVE-2026-32973.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.