Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.18
A vulnerabilidade CVE-2026-3690 é um bypass de autenticação identificado no OpenClaw, permitindo que atacantes remotos acessem o sistema sem a necessidade de credenciais válidas. Essa falha decorre de uma implementação inadequada da função de autenticação para endpoints de canvas, possibilitando o acesso não autorizado. A vulnerabilidade afeta a versão 2026.2.17 do OpenClaw e, atualmente, não há um patch oficial disponível para mitigar o problema.
A vulnerabilidade CVE-2026-3690 no OpenClaw permite que atacantes remotos contornem a autenticação sem a necessidade de credenciais. Isso se deve a uma implementação inadequada da função de autenticação para os pontos finais do canvas. Um atacante pode explorar essa falha para acessar o sistema sem passar pelo processo de autenticação normal, o que pode resultar em acesso não autorizado a dados confidenciais ou manipulação da configuração do sistema. A gravidade desta vulnerabilidade é classificada como 7.4 no CVSS, indicando um risco significativo. A ausência de um patch disponível atualmente agrava a situação, exigindo que os usuários tomem medidas preventivas imediatas.
A vulnerabilidade CVE-2026-3690 é explorada aproveitando uma falha na lógica de autenticação dos pontos finais do canvas no OpenClaw. O atacante não precisa de credenciais válidas para acessar essas funcionalidades. A exploração provavelmente envolve o envio de solicitações maliciosas projetadas para contornar os controles de autenticação. O relatório original (ZDI-CAN-29311) indica que a falha reside na implementação da função de autenticação, o que sugere que a vulnerabilidade pode ser explorada manipulando parâmetros de entrada ou executando sequências de comandos específicas. A ausência de um KEV (Kernel Exploit Verification) sugere que a verificação da exploração em um ambiente controlado ainda está em andamento, mas a gravidade do CVSS indica que a exploração é viável.
Organizations utilizing OpenClaw for any purpose, particularly those relying on its authentication mechanisms for access control, are at risk. This includes environments where OpenClaw is exposed to external networks or untrusted users. Legacy configurations or deployments without proper network segmentation are particularly vulnerable.
disclosure
Status do Exploit
EPSS
0.16% (percentil 37%)
CISA SSVC
Vetor CVSS
Como não há uma solução (fix) disponível para CVE-2026-3690 no OpenClaw, a mitigação se concentra em medidas de segurança complementares. Recomenda-se fortemente isolar as instalações do OpenClaw afetadas em uma rede segmentada para limitar o impacto potencial de uma exploração. Além disso, deve-se implementar um monitoramento contínuo do sistema para detectar qualquer atividade suspeita. Se possível, considere desativar temporariamente as funcionalidades do canvas até que uma solução oficial seja publicada. Mantenha-se atualizado sobre as atualizações de segurança do OpenClaw e aplique qualquer patch assim que estiver disponível. A implementação de um firewall robusto e regras de acesso estritas também pode ajudar a reduzir o risco.
Actualice OpenClaw a la versión corregida. Revise la documentación oficial de OpenClaw o el repositorio de GitHub para obtener instrucciones específicas de actualización. Asegúrese de que la implementación de la autenticación se revise y fortalezca para prevenir futuros bypasses.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que um atacante pode acessar o sistema ou certas funcionalidades sem a necessidade de fornecer um nome de usuário e senha válidos.
Dado que não há um patch, isole seu sistema, monitore a atividade e desative as funcionalidades do canvas se for possível. Mantenha-se informado sobre as atualizações de segurança.
Embora não haja um KEV, a classificação CVSS de 7.4 sugere que a vulnerabilidade é ativa e explorável.
Não há uma data estimada para a publicação de uma solução. Consulte o site do OpenClaw para obter atualizações.
É o identificador do relatório original de vulnerabilidade apresentado à Zero Day Initiative (ZDI).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.