Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.28
2026.3.28
A vulnerabilidade CVE-2026-33578 no openclaw faz com que a política de remetente seja rebaixada incorretamente de allowlist para open quando apenas uma lista de permissões de grupo em nível de rota é configurada. Isso permite que membros não autorizados interajam com o bot. Afeta versões openclaw ≤2026.3.24. A correção está disponível na versão >=2026.3.28.
A vulnerabilidade CVE-2026-33578 no OpenClaw permite que usuários não autorizados interajam com o bot, mesmo quando restrições de nível de remetente foram configuradas. Especificamente, se apenas uma lista de permissão de grupo em nível de rota foi configurada (Google Chat ou Zalouser), o sistema silenciosamente rebaixou a resolução de política do remetente de 'lista de permissão' para 'aberta'. Isso significa que qualquer membro do grupo na lista de permissão poderia se comunicar com o bot, ignorando a intenção do operador de limitar as interações a remetentes específicos.
Um atacante pode explorar esta vulnerabilidade se o bot OpenClaw estiver configurado com uma lista de permissão de grupo e o operador pretendia restringir o acesso a remetentes específicos. O atacante, sendo um membro do grupo na lista de permissão, poderia interagir com o bot sem autorização, potencialmente comprometendo a segurança ou a integridade dos dados processados pelo bot. A exploração é direta, não exigindo nenhuma ação especial por parte do atacante além de ser um membro do grupo permitido.
Organizations using OpenClaw for Google Chat and Zalouser integrations, particularly those relying on route-level group allowlists for access control, are at risk. This includes businesses using OpenClaw for internal communication, automation, or data processing within these platforms. Shared hosting environments where multiple users share an OpenClaw instance are also at increased risk.
• nodejs: Monitor OpenClaw logs for unexpected bot interactions from users outside of expected sender groups. Use journalctl -u openclaw to filter for relevant events.
• generic web: Review Google Chat and Zalouser integration logs for unusual bot commands or data access originating from members of allowlisted groups. Examine access/error logs for patterns indicating unauthorized access.
• generic web: Check for unexpected bot activity via curl: curl -v <openclaw_endpoint> | grep -i 'unauthorized access'
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Para mitigar esta vulnerabilidade, atualize o OpenClaw para a versão 2026.3.28 ou superior. Esta atualização corrige o comportamento incorreto na resolução de políticas do remetente, garantindo que as restrições de nível de grupo sejam aplicadas. Recomenda-se revisar as configurações de listas de permissão do Google Chat e Zalouser para confirmar que as políticas de acesso estão funcionando como esperado após a atualização. Monitorar a atividade do bot após a atualização também é uma boa prática para identificar qualquer comportamento inesperado.
Actualice OpenClaw a la versión 2026.3.28 o posterior. Esta actualización corrige la vulnerabilidad de omisión de la política del remitente en las extensiones de Google Chat y Zalouser.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OpenClaw é um framework para construir bots que interagem com diversas plataformas de mensagens como Google Chat e Zalouser.
A atualização corrige uma vulnerabilidade de segurança que poderia permitir que usuários não autorizados interagissem com o bot.
Revise as configurações de suas listas de permissão e monitore a atividade do bot para garantir que ele esteja funcionando como esperado.
Se você estiver usando uma versão do OpenClaw anterior à 2026.3.28 e tiver uma lista de permissão de grupo configurada, provavelmente estará afetado.
Não, a atualização é a única solução conhecida para esta vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.