Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.12
CVE-2026-32975 descreve uma vulnerabilidade de autorização fraca no OpenClaw. Essa falha permite que atacantes burlem a autorização de canais, roteando mensagens de grupos não autorizados para o agente. A vulnerabilidade afeta versões 0–2026.3.12 do OpenClaw. A versão 2026.3.12 corrige essa vulnerabilidade.
A vulnerabilidade CVE-2026-32975 afeta versões do OpenClaw anteriores a 2026.3.12. Esta vulnerabilidade de autorização fraca no modo de lista de permissões (allowlist) do Zalouser permite que atacantes contornem a autorização de canais. O problema reside no fato de que o sistema compara nomes de grupos (que podem mudar) em vez de identificadores de grupo estáveis e únicos. Isso significa que um atacante pode criar grupos com nomes idênticos aos grupos permitidos na lista de permissões, enganando o sistema para direcionar mensagens de grupos não intencionais para o agente. A gravidade da vulnerabilidade é classificada como 9.8 na escala CVSS, indicando um risco crítico.
Um atacante com conhecimento da configuração da lista de permissões do Zalouser pode explorar esta vulnerabilidade criando grupos com nomes idênticos aos grupos permitidos. O atacante poderia então enviar mensagens desses grupos falsificados, fazendo-os parecer provenientes de fontes legítimas. Isso poderia ser usado para falsificação de identidade, disseminação de informações incorretas ou até mesmo para controle não autorizado de sistemas. A eficácia do ataque depende da capacidade do atacante de criar e gerenciar grupos na plataforma OpenClaw. A falta de uma validação robusta dos identificadores de grupo é a causa raiz desta vulnerabilidade.
Organizations utilizing OpenClaw, particularly those relying on the 'Zalouser allowlist mode' for channel authorization, are at risk. This includes deployments handling sensitive data or controlling critical infrastructure, as the bypass could lead to unauthorized access and potential compromise.
disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o OpenClaw para a versão 2026.3.12 ou superior. Esta atualização corrige o problema, garantindo que o sistema utilize identificadores de grupo estáveis em vez de nomes de grupo para a autorização. Recomenda-se fortemente aplicar esta atualização o mais rápido possível para mitigar o risco de acesso não autorizado e possíveis ataques. Além disso, revise sua configuração de lista de permissões do Zalouser para garantir que não haja grupos com nomes duplicados ou potencialmente confusos. Monitore os logs do OpenClaw em busca de atividade suspeita após a atualização para confirmar que a vulnerabilidade foi resolvida.
Actualice OpenClaw a la versión 2026.3.12 o posterior. Esta versión corrige la vulnerabilidad de autorización débil al utilizar identificadores de grupo estables en lugar de nombres de visualización mutables en la lista de permitidos de Zalouser.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Zalouser é um componente do OpenClaw que gerencia a autorização de canais.
A versão do OpenClaw pode ser encontrada nas informações do aplicativo ou nos logs do sistema.
Se não puder atualizar imediatamente, considere implementar medidas de segurança adicionais, como um monitoramento mais rigoroso dos logs e a limitação das permissões do usuário.
Esta vulnerabilidade afeta apenas as instalações do OpenClaw que utilizam o modo de lista de permissões do Zalouser.
Você pode encontrar mais informações sobre esta vulnerabilidade nas fontes de informação de segurança do OpenClaw e em bancos de dados de vulnerabilidades como o NVD.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.