ClawHosters ClawHosters
Abo -30% SUB30
10+ CVEs an einem Tag: OpenClaws größte Sicherheitsoffenlegung aller Zeiten (März 2026)
$ ./blog/news
Neuigkeiten

10+ CVEs an einem Tag: OpenClaws größte Sicherheitsoffenlegung aller Zeiten (März 2026)

ClawHosters
ClawHosters von Daniel Samer
3 Min. Lesezeit

Der 21. März 2026 war kein guter Tag für OpenClaw-Selbsthoster. Eine koordinierte Offenlegung brachte über 10 hochkritische CVEs auf einen Schlag. So viele an einem einzigen Tag gab es in der Geschichte des Projekts noch nie.

Zur Einordnung: CrowdStrikes aktuelle Analyse erfasst bereits 156 Advisories insgesamt für OpenClaw. 28 davon haben CVE-IDs, 128 weitere warten noch auf Zuweisung. Dieser Batch kommt auf einen ohnehin schon beachtlichen Stapel obendrauf.

Die schlimmsten Lücken

CVE-2026-32042 (CVSS 8.8): Privilege Escalation. Nicht gepaarte Geräte konnten sich selbst den Scope operator.admin zuweisen. Kurz gesagt: Jedes Gerät, das sich mit deiner Instanz verbindet, konnte sich unbemerkt vollen Admin-Zugriff geben. Behoben in v2026.2.25.

CVE-2026-32051 (CVSS 8.8): Authorization Bypass. Aufrufe mit operator.write-Berechtigung konnten Owner-only Tool Surfaces ansprechen. Die Berechtigungsgrenze zwischen Operator und Owner wurde schlicht nicht korrekt durchgesetzt. Behoben in v2026.3.1.

CVE-2026-32048 (CVSS 7.5): Sandbox Escape. Child-Runtimes, die über Cross-Agent-Sessions gestartet wurden, erbten sandbox.mode=off. Wer Agents betreibt, die andere Agents spawnen können: Die Sandbox, auf die du dich verlassen hast, hat wahrscheinlich nicht gegriffen. Behoben in v2026.3.1.

CVE-2026-32056 (CVSS 7.5): RCE via Shell Startup. Angreifer konnten über .bash_profile oder .zshenv Umgebungsvariablen injizieren und damit Command-Allowlists komplett umgehen. Behoben in v2026.2.22.

Alles gepatcht ab v2026.3.1

Jeder CVE aus dieser Offenlegung ist behoben, wenn du v2026.3.1 oder neuer verwendest. Die aktuellste Version ist v2026.3.13-1. Wer mehr als ein paar Versionen zurückliegt, ist gleich mehreren Angriffsvektoren gleichzeitig ausgesetzt.

ClawHosters-Instanzen: Bereits geschützt

Für Managed-Hosting-Kunden der relevante Teil. ClawHosters-Instanzen aktualisieren sich automatisch. Als die CVEs am 21. März veröffentlicht wurden, liefen alle verwalteten Instanzen bereits auf gepatchten Versionen. Kein manuelles Eingreifen nötig. Kein hektisches Updaten. Kein Hoffen, dass man nichts übersehen hat.

Du hostest selbst? Dann jetzt updaten. Nicht morgen, nicht nächste Woche. Prüfe unseren Security Hardening Guide und lass den Safety Scanner gegen dein Setup laufen.

Oder lass den ganzen Wartungsaufwand einfach weg und überlasse es ClawHosters.

Häufig gestellte Fragen

Nein. Alle verwalteten Instanzen haben vor der öffentlichen Bekanntgabe automatische Updates erhalten. Wer auf ClawHosters läuft, muss nichts tun.

Version 2026.3.1 deckt jeden CVE aus dieser Offenlegung ab. Die aktuellste verfügbare Version ist v2026.3.13-1, die auch Fixes aus späteren Releases enthält.

Führe `docker exec openclaw cat /app/VERSION` auf deinem Host aus. Wenn dort etwas älter als 2026.3.1 steht, sofort updaten.
*Zuletzt aktualisiert: März 2026*

Quellen

  1. 1 Security Hardening Guide
  2. 2 Safety Scanner
  3. 3 ClawHosters
$ ./related --posts