Des chercheurs en cybersécurité ont révélé quatre failles de sécurité dans OpenClaw qui pourraient être combinées pour permettre le vol de données, l’élévation de privilèges et la persistance.

Ces vulnérabilités, regroupées sous le nom de « Claw Chain » par Cyera, permettent à un attaquant de s’infiltrer dans le système, d’exposer des données sensibles et d’installer des portes dérobées. Vous trouverez ci-dessous une brève description de ces failles.

• CVE-2026-44112 (score CVSS : 9,6/6,3) – Une vulnérabilité de condition de concurrence temps-de-vérification/temps-de-utilisation (TOCTOU) dans le backend sandbox géré d’ OpenShell qui permet aux attaquants de contourner les restrictions du sandbox et de rediriger les écritures en dehors de la racine de montage prévue. 
• CVE-2026-44113 (score CVSS : 7,7/6,3) – Une vulnérabilité de condition de concurrence TOCTOU dans OpenShell qui permet aux attaquants de contourner les restrictions de sandbox et de lire des fichiers en dehors de la racine de montage prévue.
• CVE-2026-44115 (score CVSS : 8,8) – Une vulnérabilité liée à une liste incomplète d’entrées interdites qui permet aux attaquants de contourner la validation de la liste d’autorisation en intégrant des jetons d’expansion de shell dans le corps d’un document here (heredoc) pour exécuter des commandes non approuvées lors de l’exécution.
• CVE-2026-44118 (score CVSS : 7,8) – Une vulnérabilité de contrôle d’accès incorrecte qui pourrait permettre à des clients de bouclage non propriétaires d’usurper l’identité d’un propriétaire pour élever leurs privilèges et prendre le contrôle de la configuration de la passerelle, de la planification cron et de la gestion de l’environnement d’exécution.

Cyera a déclaré que l’exploitation réussie de CVE-2026-44112 pourrait permettre à un attaquant de falsifier la configuration, d’installer des portes dérobées et d’établir un contrôle persistant sur l’hôte compromis, tandis que CVE-2026-44113 pourrait être utilisée pour lire les fichiers système, les informations d’identification et les artefacts internes.

La chaîne d’exploitation se déroule en quatre étapes :

• Un plugin malveillant, une injection de commande ou une entrée externe compromise permet l’exécution de code à l’intérieur du bac à sable OpenShell.
• Exploitez les vulnérabilités CVE-2026-44113 et CVE-2026-44115 pour exposer des identifiants, des secrets et des fichiers sensibles.
• Exploiter la vulnérabilité CVE-2026-44118 pour obtenir un contrôle au niveau propriétaire de l’environnement d’exécution de l’agent.
• Utilisez CVE-2026-44112 pour installer des portes dérobées ou effectuer des modifications de configuration et mettre en place une persistance.

La cause profonde de la CVE-2026-44118, selon la société de cybersécurité, provient du fait qu’OpenClaw fait confiance à un indicateur de propriété contrôlé par le client appelé senderIsOwner, qui signale si l’appelant est autorisé à utiliser des outils réservés au propriétaire, sans le valider par rapport à la session authentifiée.

« Le runtime de bouclage MCP émet désormais des jetons porteurs distincts pour le propriétaire et le non-propriétaire, et détermine l’en-tête senderIsOwner exclusivement à partir du jeton ayant authentifié la requête », a détaillé OpenClaw dans un avis de sécurité concernant cette faille. « L’en-tête sender-owner, susceptible d’être falsifié, n’est plus émis ni pris en compte. »

Suite à une divulgation responsable, les quatre vulnérabilités ont été corrigées dans la version 2026.4.22 d’OpenClaw. Le chercheur en sécurité Vladimir Tokarev est à l’origine de la découverte et du signalement de ces problèmes. Il est conseillé aux utilisateurs de mettre à jour leur logiciel vers la dernière version afin de se prémunir contre les menaces potentielles.

« En exploitant les privilèges de l’agent, un adversaire accède aux données, élève ses privilèges et s’implante durablement, utilisant l’agent comme son bras armé au sein de l’environnement », explique Cyera. « Chaque étape apparaît comme un comportement normal de l’agent pour les systèmes de contrôle traditionnels, ce qui élargit considérablement le champ d’action et rend la détection beaucoup plus difficile. »