OpenClaw bis 2026.2.24 Parameter cwd Race Condition
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in OpenClaw bis 2026.2.24 ausgemacht. Sie wurde als problematisch eingestuft. Das betrifft eine unbekannte Funktionalität der Komponente Parameter Handler. Dank Manipulation des Arguments cwd mit unbekannten Daten kann eine Race Condition-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2026-32043 geführt. Der Angriff hat dabei lokal zu erfolgen. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine problematische Schwachstelle in OpenClaw bis 2026.2.24 entdeckt. Es betrifft eine unbekannte Funktion der Komponente Parameter Handler. Mittels dem Manipulieren des Arguments cwd mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-367 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
OpenClaw versions prior to 2026.2.25 contain a time-of-check-time-of-use vulnerability in approval-bound system.run execution where the cwd parameter is validated at approval time but resolved at execution time. Attackers can retarget a symlinked cwd between approval and execution to bypass command execution restrictions and execute arbitrary commands on node hosts.Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 10.03.2026 unter CVE-2026-32043 geführt. Sie gilt als schwierig auszunutzen. Der Angriff hat dabei lokal zu erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 2026.2.25 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches f789f880c934caa8be25b38832f27f90f37903db beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von CERT Bund (WID-SEC-2026-0542) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Betroffen
- Open Source OpenClaw
Produkt
Typ
Name
Version
- 2026.2.0
- 2026.2.1
- 2026.2.2
- 2026.2.3
- 2026.2.4
- 2026.2.5
- 2026.2.6
- 2026.2.7
- 2026.2.8
- 2026.2.9
- 2026.2.10
- 2026.2.11
- 2026.2.12
- 2026.2.13
- 2026.2.14
- 2026.2.15
- 2026.2.16
- 2026.2.17
- 2026.2.18
- 2026.2.19
- 2026.2.20
- 2026.2.21
- 2026.2.22
- 2026.2.23
- 2026.2.24
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 6.0VulDB Meta Temp Score: 5.9
VulDB Base Score: 4.5
VulDB Temp Score: 4.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.0
NVD Vector: 🔒
CNA Base Score: 6.5
CNA Vector (VulnCheck): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Race ConditionCWE: CWE-367 / CWE-362
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: OpenClaw 2026.2.25
Patch: f789f880c934caa8be25b38832f27f90f37903db
Timeline
10.03.2026 CVE zugewiesen21.03.2026 Advisory veröffentlicht
21.03.2026 VulDB Eintrag erstellt
27.03.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-mwcg-wfq3-4gjc
Status: Bestätigt
CVE: CVE-2026-32043 (🔒)
GCVE (CVE): GCVE-0-2026-32043
GCVE (VulDB): GCVE-100-352170
CERT Bund: WID-SEC-2026-0542 - OpenClaw: Mehrere Schwachstellen
Eintrag
Erstellt: 21.03.2026 06:54Aktualisierung: 27.03.2026 10:13
Anpassungen: 21.03.2026 06:54 (79), 23.03.2026 13:16 (7), 27.03.2026 10:13 (13)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.