平台
nodejs
组件
openclaw
修复版本
2026.2.17
2026.2.17
CVE-2026-33572 描述了 OpenClaw 中一个权限问题。该漏洞导致会话记录文件具有过于宽松的默认权限,允许本地用户读取其内容。攻击者可以利用此漏洞获取敏感信息,例如工具输出中的密钥。受影响版本范围为 0 到 2026.2.17。该问题已在 2026.2.17 版本中得到修复,建议用户尽快升级。
OpenClaw的CVE-2026-33572漏洞影响2026.2.17之前的版本。OpenClaw在创建新的会话转录文件(JSONL格式)时,默认分配了过于宽泛的权限。在多用户主机上,其他本地用户或进程可能能够读取这些转录文件内容,从而可能泄露敏感信息,包括工具输出中可能出现的机密信息。在共享环境中,如果会话数据的机密性至关重要,则风险尤其高。
具有系统访问权限的本地攻击者可能利用此漏洞读取其他用户的会话转录文件。这可能使他们能够获取敏感信息,例如密码、API密钥或其他在OpenClaw会话中使用的机密信息。在用户共享同一系统或访问共享位置上的文件时,多用户环境中更容易受到攻击。
This vulnerability primarily affects developers and organizations using openclaw in multi-user environments, particularly those where sensitive data might be present in tool output within openclaw sessions. Shared hosting environments where multiple users share the same server are also at increased risk.
• nodejs / server:
find /path/to/openclaw/session_store -perm -002 -type f• nodejs / supply-chain:
npm ls openclaw• generic web: Check file permissions on the openclaw session store directory.
disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
为了减轻此风险,建议将OpenClaw更新到2026.2.17或更高版本。此版本通过限制会话转录文件的权限来修复漏洞,确保只有所有者才能访问这些文件。此外,请查看您系统的安全策略,以确保转录文件存储在安全位置并得到适当的管理。如果会话数据的机密性是主要问题,请考虑实施更严格的访问控制。
将 OpenClaw 更新到 2026.2.17 或更高版本。 此版本修复了会话转录文件中的文件权限不足问题,防止未经授权的本地用户读取转录内容。
漏洞分析和关键警报直接发送到您的邮箱。
OpenClaw是一种用于开发桌面角色扮演游戏的工具。此漏洞影响OpenClaw处理会话转录的方式。
如果您使用的是OpenClaw 2026.2.17之前的版本,则很可能受到影响。
立即将OpenClaw更新到最新版本。检查会话转录文件是否有未经授权访问的迹象。考虑更改可能已被破坏的密码和API密钥。
如果您无法立即更新,您可以尝试手动限制会话转录文件的权限,以便只有所有者才能访问它们。但是,这需要技术专业知识,并且可能不是完整的解决方案。
有关更多详细信息,请参阅国家漏洞数据库(NVD)中的CVE-2026-33572页面:[https://nvd.nist.gov/vuln/detail/CVE-2026-33572](https://nvd.nist.gov/vuln/detail/CVE-2026-33572)
CVSS 向量