Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.12
A vulnerabilidade CVE-2026-33575 no OpenClaw expõe credenciais de gateway compartilhadas em códigos de configuração. Isso permite que atacantes reutilizem as credenciais fora do fluxo de emparelhamento pretendido. As versões afetadas são as anteriores a 2026.3.12. A falha ocorre devido ao armazenamento inadequado de credenciais. A correção está disponível na versão 2026.3.12.
A vulnerabilidade CVE-2026-33575 no OpenClaw permite que atacantes comprometam a segurança do dispositivo através da recuperação e reutilização de credenciais de gateway compartilhadas. Antes da versão 2026.3.12, o OpenClaw incorporava essas credenciais diretamente nos códigos de configuração de pareamento gerados pelo endpoint /pair e pelo comando OpenClaw qr. Se esses códigos de configuração, que são projetados para uso único durante o processo de pareamento, forem expostos (por exemplo, em históricos de chat, logs de sistema ou capturas de tela), um atacante pode extrair a credencial de gateway compartilhada. Com essa credencial, o atacante pode potencialmente acessar e controlar o dispositivo OpenClaw fora do fluxo de pareamento pretendido. O raio de impacto é significativo, pois a credencial comprometida pode permitir acesso não autorizado a dados armazenados no dispositivo, bem como a capacidade de realizar ações em nome do usuário, dependendo das permissões associadas à credencial de gateway. A gravidade da vulnerabilidade é classificada como ALTA (CVSS 7.5) devido ao potencial de acesso não autorizado e à relativa facilidade de exploração se os códigos de configuração vazarem. A exposição de dados sensíveis e a possibilidade de controle remoto do dispositivo representam riscos significativos para os usuários.
Atualmente, não existem relatos públicos de exploração ativa (KEV) da vulnerabilidade CVE-2026-33575. No entanto, a facilidade com que a credencial de gateway compartilhada pode ser recuperada de códigos de configuração vazados torna a vulnerabilidade preocupante. A ausência de um Proof of Concept (PoC) público não diminui o risco, pois a exploração pode ser realizada por atacantes com conhecimento técnico. A urgência de aplicação da correção é alta, especialmente para organizações que lidam com dados sensíveis ou que têm uma grande base de usuários OpenClaw. A dependência de códigos de configuração de pareamento para acesso pode criar um ponto único de falha, tornando a correção uma prioridade.
OpenClaw deployments, particularly those that utilize chat platforms or other communication channels where pairing codes might be inadvertently shared, are at risk. Organizations that have not implemented robust log management practices and access controls are also more vulnerable. Any environment where screenshots or logs containing pairing codes are stored or transmitted are potentially exposed.
disclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
CISA SSVC
Vetor CVSS
A correção para CVE-2026-33575 é a atualização para a versão 2026.3.12 ou superior do OpenClaw. Esta versão remove a incorporação de credenciais de gateway compartilhadas nos códigos de configuração de pareamento, implementando um mecanismo mais seguro para o processo de pareamento. Se a atualização imediata não for possível, a mitigação temporária envolve a revisão cuidadosa de todos os históricos de chat, logs de sistema e capturas de tela em busca de códigos de configuração de pareamento potencialmente expostos. Qualquer código de configuração encontrado deve ser considerado comprometido e o dispositivo deve ser reconfigurado. É crucial implementar políticas de segurança que restrinjam o compartilhamento de informações sensíveis, incluindo códigos de configuração, em canais não seguros. A verificação da integridade da atualização após a instalação é recomendada para garantir que a correção foi aplicada com sucesso. A sequência de atualização deve seguir as instruções fornecidas pela OpenClaw, garantindo a compatibilidade com outros componentes do sistema.
Atualize o OpenClaw para a versão 2026.3.12 ou posterior. Isso evitará a exposição de credenciais de longa duração nos códigos de configuração de emparelhamento.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33575 is a high-severity vulnerability in OpenClaw versions 0.0 - 2026.3.12 where pairing setup codes embed long-lived gateway credentials, allowing attackers to reuse them.
If you are running OpenClaw versions 0.0 to 2026.3.12, you are potentially affected. Check your version and upgrade immediately.
Upgrade OpenClaw to version 2026.3.12 or later to resolve the vulnerability. Consider disabling the /pair endpoint as a temporary measure.
There is currently no confirmed active exploitation, but the vulnerability's nature suggests a potential for future attacks.
Refer to the official OpenClaw security advisory for detailed information and updates: [Replace with actual advisory URL when available]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.