Back to blog
CVE-2026-43575CVE-2026-44109CVE-2026-43581OpenClawsandboxnoVNCChrome DevToolsCVE

OpenClaw : 3 CVE critiques d'auth bypass dans la sandbox navigateur

OpenClaw < 2026.4.15 cumule 3 CVE CRITICAL (CVSS 9.6-9.8) : noVNC exposé, webhook Feishu sans validation, CDP relay sur 0.0.0.0. Patch et hardening pour la sandbox de testing.

May 12, 20267 min read

OpenClaw est un orchestrateur de sandbox navigateur, utilisé par les équipes d'agents AI et les pipelines de testing automatisé pour piloter un navigateur Chrome de façon programmatique (via Chrome DevTools Protocol). Le 6 mai 2026, trois CVE critiques ont été publiées simultanément : toutes des bypasses d'authentification sur des composants de la sandbox, exposant les sessions de navigateur, les commandes Feishu, et le protocole DevTools de Chrome au-delà du périmètre attendu.

Si vous opérez OpenClaw en production (notamment pour des workloads d'agents AI scrappant le web ou exécutant des tâches dans un navigateur "headfull"), patcher rapidement est impératif — chaque CVE permet à elle seule de compromettre la sandbox et d'accéder aux données de session du navigateur orchestré.

Les 3 CVE en un coup d'œil

CVEComposantCVSSEffet
CVE-2026-43575noVNC helper route9.8Accès sans auth aux credentials de session navigateur interactive
CVE-2026-44109Feishu webhook + card-action9.8Bypass de signature → command dispatch arbitraire
CVE-2026-43581CDP relay sandbox browser9.6Chrome DevTools Protocol exposé sur 0.0.0.0

CVE-2026-43575 — Auth bypass noVNC helper

Le bug

OpenClaw propose une fonctionnalité de noVNC viewer pour permettre à un opérateur de voir et interagir visuellement avec le navigateur sandboxé. Cette route helper est censée être protégée par une bridge authentication — un mécanisme de validation côté serveur qui assure que seuls les utilisateurs autorisés accèdent au flux VNC.

La CVE révèle que la route helper noVNC ne valide pas correctement cette authentication bridge dans certaines conditions, exposant les credentials de session du navigateur (cookies, tokens, état de connexion aux services en cours) à tout attaquant ayant un accès réseau.

Conséquence

Un attaquant peut :

  • Voir l'écran du navigateur sandboxé en temps réel
  • Interagir avec lui (clics, saisie clavier)
  • Voler les credentials de session des sites visités par la sandbox (Gmail, GitHub, Slack…)
  • Récupérer les cookies authentifiés des services connectés

Caractéristiques

ChampValeur
CVSS 3.19.8 (CRITICAL)
VecteurAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWECWE-287 (Improper Authentication)
Version corrigée2026.4.10

CVE-2026-44109 — Auth bypass Feishu webhook

Le bug

OpenClaw supporte l'intégration Feishu (la plateforme collaborative de ByteDance) pour permettre à des utilisateurs de déclencher des actions dans la sandbox via des webhooks ou des card-actions Feishu.

L'authentification de ces requêtes repose sur :

  1. Une encryptKey partagée
  2. Un callback token servant de signature

La CVE révèle un fail-open dangereux : quand encryptKey n'est pas configuré ou que le callback token est blank, la validation renvoie OK au lieu de rejeter la requête. Concrètement, n'importe qui peut envoyer un payload Feishu forgé et exécuter des commandes arbitraires sur le command dispatcher d'OpenClaw.

Conséquence

Le command dispatcher d'OpenClaw permet typiquement :

  • Le pilotage du navigateur (navigate, click, fill, screenshot)
  • L'exécution de scripts JavaScript dans la page
  • L'accès aux logs et au state de la sandbox

Un attaquant peut donc piloter complètement le navigateur sandboxé sans aucune authentification valide.

Caractéristiques

ChampValeur
CVSS 3.19.8 (CRITICAL)
VecteurAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWECWE-287 (Improper Authentication) + CWE-636 (Not Failing Securely)
Version corrigée2026.4.15

CVE-2026-43581 — Chrome DevTools Protocol exposé sur 0.0.0.0

Le bug

OpenClaw lance un Chrome avec Chrome DevTools Protocol (CDP) activé pour le piloter. CDP est normalement bindé sur 127.0.0.1 (localhost uniquement) pour rester dans le périmètre du conteneur sandbox.

Dans les versions affectées, le CDP relay est bindé sur 0.0.0.0 — accessible depuis n'importe quelle IP capable de joindre le conteneur. Cela inclut :

  • Les autres conteneurs sur le même réseau Docker/Kubernetes (lateral movement)
  • Le réseau d'entreprise si la sandbox est exposée
  • Internet si la sandbox a une IP publique

Conséquence

CDP permet à un attaquant de :

  • Lancer des requêtes HTTP arbitraires depuis le navigateur (SSRF)
  • Lire/écrire les cookies, le localStorage, IndexedDB
  • Exécuter du JavaScript dans n'importe quelle origine ouverte
  • Capturer des screenshots et le contenu du DOM

C'est équivalent à une RCE dans le navigateur sandboxé depuis le réseau.

Caractéristiques

ChampValeur
CVSS 3.19.6 (CRITICAL)
VecteurAV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (adjacent network)
CWECWE-1327 (Binding to Improper Network Interface)
Version corrigée2026.4.10

Produits et versions affectés

CVEVersions affectéesVersion corrigée
CVE-2026-43575 (noVNC)< 2026.4.102026.4.10
CVE-2026-44109 (Feishu)< 2026.4.152026.4.15
CVE-2026-43581 (CDP)< 2026.4.102026.4.10

Mettre à jour vers la version 2026.4.15 ou supérieure corrige les trois.

Exploitation et impact combinés

L'impact réel dépend de votre architecture de déploiement d'OpenClaw :

Scénario 1 — OpenClaw exposé Internet (sandbox SaaS)

Toute personne sur Internet peut :

  • Voir et interagir avec les navigateurs sandboxés en cours (CVE-2026-43575)
  • Piloter le navigateur via faux webhook Feishu (CVE-2026-44109)
  • Manipuler le DOM via CDP exposé (CVE-2026-43581)

Vol massif de credentials, exfiltration de données traitées par les agents AI utilisant la sandbox.

Scénario 2 — OpenClaw interne (DevOps/testing automatisé)

Un attaquant déjà sur le réseau d'entreprise (post phishing, par exemple) peut atteindre OpenClaw via CDP exposé sur 0.0.0.0 et pivoter dans la sandbox pour atteindre les services internes (intranet, applications business) que la sandbox a en cours d'accès.

Scénario 3 — Agent AI orchestrant des actions sensibles

Si OpenClaw est utilisé par un agent AI pour effectuer des actions authentifiées (login bancaire, ERP, etc.), l'attaquant peut détourner ces sessions pour effectuer des transactions frauduleuses au nom du compte utilisé par l'agent.

Détection et IOC

Logs OpenClaw

# Recherche d'accès noVNC depuis IPs externes
grep -E "novnc.*helper" /var/log/openclaw/access.log | \
  grep -vE "^(127\.|10\.|172\.16\.|192\.168\.)"

# Webhook Feishu sans encryptKey/token valide
grep -E "feishu.*webhook" /var/log/openclaw/access.log | \
  grep -iE "fail-open|no-auth|missing"

Audit réseau

# Vérifier sur quels interfaces le CDP est bindé
netstat -tlnp | grep chrome
ss -tlnp | grep -i devtools

# Doit être 127.0.0.1:9222, jamais 0.0.0.0:9222

Indicateurs de compromission

  • Connexions WebSocket inattendues sur le port CDP (9222 par défaut) depuis IPs non whitelistées
  • Requêtes CDP non sollicitées (Page.navigate, Runtime.evaluate, Network.getAllCookies)
  • Sessions navigateur fermées/relancées de façon anormale

Mitigation et patch

Action immédiate : mettre à jour vers 2026.4.15+

# Docker
docker pull openclaw/openclaw:2026.4.15
docker compose up -d

# Vérifier
docker inspect openclaw --format '{{.Config.Image}}'

Workaround temporaire (si patch impossible)

  1. Réseau : isoler OpenClaw derrière un firewall ou un network policy K8s ne laissant passer que les IPs admin
  2. CDP : forcer le bind sur localhost via override de la config Chrome : 
    --remote-debugging-address=127.0.0.1
  3. Désactiver Feishu webhook si non utilisé (config OpenClaw → set feishu.enabled = false)
  4. Désactiver noVNC si non nécessaire en prod

Hardening durable

  • Toujours déployer OpenClaw sur un réseau strictement interne, derrière un VPN ou un mTLS
  • Configurer encryptKey et callback token Feishu même si l'intégration n'est pas utilisée activement (évite le fail-open)
  • Audit régulier des interfaces réseau des conteneurs (docker network inspect)
  • Mettre en place un WAF/reverse proxy devant la sandbox avec auth obligatoire sur toutes les routes

Pourquoi surveiller en continu vos sandboxes et orchestrateurs

Les sandboxes navigateur, les orchestrateurs d'agents AI, et les outils de testing automatisé sont une catégorie d'infrastructure émergente et mal surveillée. Beaucoup tournent en interne sans inventaire de sécurité, alors qu'ils manipulent des credentials authentifiés très sensibles. Une CVE comme CVE-2026-44109 (auth bypass via fail-open) est typique de cette catégorie d'outils relativement jeunes — moins matures sur la sécurité.

Avec cveo.tech, inventoriez vos sandboxes (OpenClaw, Browserless, Playwright Grid, Selenium Hub) et orchestrateurs d'agents (LangChain, AutoGen, CrewAI) et soyez alerté automatiquement dès qu'une CVE critique cible une de vos versions exactes — pour patcher avant que vos agents AI ne deviennent une porte d'entrée vers vos applications business.

Monitor CVEs with AI

AI-powered search, CVSS scoring, asset monitoring and automatic alerts.

Try AI search →Create free account

Related articles

PHP 8.x: 3 CRITICAL CVEs at once (PDO Firebird SQLi + 2 SOAP UAFs)

PHP 8.2.31 / 8.3.31 / 8.4.21 / 8.5.6 fix 3 CRITICAL CVEs (CVSS 9.8): PDO Firebird NUL-byte SQL injection + 2 SOAP use-after-free flaws exploitable for RCE.

OpenClaw: 3 Critical Auth Bypass CVEs in the Browser Sandbox

OpenClaw < 2026.4.15 stacks 3 CRITICAL CVEs (CVSS 9.6-9.8): exposed noVNC, Feishu webhook without validation, CDP relay on 0.0.0.0. Patch and hardening guide.

Microsoft Patch Tuesday May 2026: 4 CRITICAL CVEs (Netlogon, DNS, Dynamics, Azure)

May 2026 Patch Tuesday — 4 CRITICAL CVEs: Windows Netlogon RCE (9.8), Windows DNS RCE (9.8), Dynamics 365 code injection (9.9), Azure Logic Apps EoP (9.9).