Cybersecurity-onderzoekers hebben een reeks van vier beveiligingsfouten in OpenClaw onthuld die aan elkaar kunnen worden gekoppeld om gegevensdiefstal, escalatie van privileges en persistentie te bewerkstelligen.
De kwetsbaarheden, gezamenlijk genoemd
Klauw ketting
van Cyera, kan een aanvaller toestaan voet aan de grond te krijgen, gevoelige gegevens bloot te leggen en achterdeurtjes te plaatsen. Hieronder vindt u een korte beschrijving van de tekortkomingen:
-
CVE-2026-44112
(CVSS-score: 9,6/6,3) – Een TOCTOU-race condition-kwetsbaarheid in de door OpenShell beheerde sandbox-backend waarmee aanvallers sandbox-beperkingen kunnen omzeilen en schrijfbewerkingen kunnen omleiden buiten de bedoelde mount root. -
CVE-2026-44113
(CVSS-score: 7,7/6,3) – Een TOCTOU-race condition-kwetsbaarheid in OpenShell waarmee aanvallers sandbox-beperkingen kunnen omzeilen en bestanden kunnen lezen buiten de bedoelde mount root. -
CVE-2026-44115
(CVSS-score: 8.8) – Een onvolledige lijst met kwetsbaarheden met niet-toegestane invoer waarmee aanvallers de validatie van de toelatingslijst kunnen omzeilen door shell-uitbreidingstokens in de hoofdtekst van een here-document (heredoc) in te sluiten om niet-goedgekeurde opdrachten tijdens runtime uit te voeren. -
CVE-2026-44118
(CVSS-score: 7,8) – Een ongepaste toegangscontrolekwetsbaarheid waardoor loopback-clients die geen eigenaar zijn, zich kunnen voordoen als een eigenaar om hun bevoegdheden te verhogen en controle te krijgen over de gatewayconfiguratie, cron-planning en het beheer van de uitvoeringsomgeving.
Cyera zei dat succesvolle exploitatie van CVE-2026-44112 een aanvaller in staat zou kunnen stellen met de configuratie te knoeien, backdoors te plaatsen en blijvende controle over de gecompromitteerde host te verkrijgen, terwijl CVE-2026-44113 zou kunnen worden bewapend om systeembestanden, inloggegevens en interne artefacten te lezen.
De exploitatieketen ontvouwt zich in vier stappen:
- Een kwaadaardige plug-in, snelle injectie of gecompromitteerde externe invoer zorgt ervoor dat code wordt uitgevoerd in de OpenShell-sandbox.
- Maak gebruik van CVE-2026-44113 en CVE-2026-44115 om inloggegevens, geheimen en gevoelige bestanden openbaar te maken.
- Maak gebruik van CVE-2026-44118 om controle op eigenaarsniveau over de runtime van de agent te verkrijgen.
- Gebruik CVE-2026-44112 om achterdeurtjes te plaatsen, configuratiewijzigingen aan te brengen en persistentie in te stellen.
De hoofdoorzaak voor CVE-2026-44118 komt volgens het cyberbeveiligingsbedrijf voort uit het feit dat OpenClaw een door de klant gecontroleerde eigendomsvlag vertrouwt, genaamd senderIsOwner, die aangeeft of de beller geautoriseerd is voor tools die alleen de eigenaar gebruiken, zonder deze te valideren aan de hand van de geverifieerde sessie.
“De MCP-loopback-runtime geeft nu afzonderlijke tokens voor eigenaars en niet-eigenaars uit en leidt uitsluitend senderIsOwner af van welk token het verzoek heeft geverifieerd”, beschrijft OpenClaw de oplossingen in een advies voor de fout. “De spoofbare header van de afzender-eigenaar wordt niet langer verzonden of vertrouwd.”
Na verantwoorde openbaarmaking zijn alle vier de kwetsbaarheden verholpen in OpenClaw versie 2026.4.22. Beveiligingsonderzoeker Vladimir Tokarev wordt gecrediteerd voor het ontdekken en rapporteren van de problemen. Gebruikers wordt geadviseerd om te updaten naar de nieuwste versie om beschermd te blijven tegen mogelijke bedreigingen.
“Door de eigen privileges van de agent te bewapenen, beweegt een tegenstander zich door gegevenstoegang, escalatie van privileges en doorzettingsvermogen – waarbij hij de agent als zijn handen in de omgeving gebruikt”, zei Cyera. “Elke stap lijkt op normaal agentengedrag in vergelijking met traditionele bedieningselementen, waardoor de straal van de explosie groter wordt en detectie aanzienlijk moeilijker wordt.”
