Lỗ hổng OpenClaw có thể cho phép chiếm quyền máy chỉ bằng một cú nhấp

[WhiteHat Team]

Một lỗ hổng nghiêm trọng vừa được công bố trong phần mềm mã nguồn mở OpenClaw (trước đây là Clawdbot/Moltbot) cho phép kẻ tấn công thực thi mã từ xa (RCE) chỉ bằng việc dụ người dùng bấm vào một liên kết độc hại.
​

​

Lỗ hổng mang mã CVE-2026-25253 (CVSS 8,8) đã được vá trong phiên bản 2026.1.29 phát hành ngày 30/01/2026. Nguyên nhân xuất phát từ việc giao diện quản trị Control UI tự động kết nối tới gateway từ tham số URL mà không kiểm tra hợp lệ, dẫn tới nguy cơ rò rỉ token xác thực và bị chiếm quyền điều khiển gateway.

Theo chuyên gia bảo mật, kẻ tấn công có thể lợi dụng một trang web độc hại để chiếm quyền WebSocket, từ đó vô hiệu hóa các cơ chế an toàn và thực thi lệnh trên máy nạn nhân. Lỗ hổng vẫn có thể bị khai thác ngay cả khi dịch vụ chỉ mở trên localhost do trình duyệt người dùng trở thành “cầu nối” tấn công.

Hiện chuyên gia WhiteHat chưa ghi nhận trường hợp bị khai thác thực tế và rất may chưa có cơ quan, tổ chức nào tại Việt Nam bị tấn công nhưng vẫn không nên chủ quan. Người dùng OpenClaw nên cập nhật ngay lên bản 2026.1.29, hạn chế truy cập các liên kết không rõ nguồn gốc và rà soát cấu hình bảo mật WebSocket để giảm thiểu rủi ro.
​

Theo The Hacker News​