OpenClaw bis 2026.3.1 system.run node-host Execution erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als kritisch klassifizierte Schwachstelle in OpenClaw bis 2026.3.1 entdeckt. Das betrifft eine unbekannte Funktionalität der Komponente system.run node-host Execution. Dank Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2026-29608 bekannt. Der Angriff muss lokal passieren. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine kritische Schwachstelle in OpenClaw bis 2026.3.1 entdeckt. Hiervon betroffen ist ein unbekannter Codeblock der Komponente system.run node-host Execution. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-88 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
OpenClaw 2026.3.1 contains an approval integrity vulnerability in system.run node-host execution where argv rewriting changes command semantics. Attackers can place malicious local scripts in the working directory to execute unintended code despite operator approval of different command text.Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 04.03.2026 unter CVE-2026-29608 geführt. Sie gilt als schwierig auszunutzen. Der Angriff hat dabei lokal zu erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. MITRE ATT&CK führt die Angriffstechnik T1059 für diese Schwachstelle.
Ein Upgrade auf die Version 2026.3.2 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches dded569626b0d8e7bdab10b5e7528b6caf73a0f1 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von CERT Bund (WID-SEC-2026-0573) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Betroffen
- Open Source OpenClaw
Produkt
Typ
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 6.0VulDB Meta Temp Score: 5.9
VulDB Base Score: 4.5
VulDB Temp Score: 4.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.7
NVD Vector: 🔒
CNA Base Score: 6.7
CNA Vector (VulnCheck): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-88 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: OpenClaw 2026.3.2
Patch: dded569626b0d8e7bdab10b5e7528b6caf73a0f1
Timeline
04.03.2026 CVE zugewiesen19.03.2026 Advisory veröffentlicht
19.03.2026 VulDB Eintrag erstellt
23.03.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-h3rm-6x7g-882f
Status: Bestätigt
CVE: CVE-2026-29608 (🔒)
GCVE (CVE): GCVE-0-2026-29608
GCVE (VulDB): GCVE-100-351666
CERT Bund: WID-SEC-2026-0573 - OpenClaw: Mehrere Schwachstellen
Eintrag
Erstellt: 19.03.2026 07:55Aktualisierung: 23.03.2026 22:51
Anpassungen: 19.03.2026 07:55 (79), 22.03.2026 14:34 (11), 23.03.2026 04:05 (7), 23.03.2026 22:51 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.