CVE-2026-25253: Ein Klick reicht für Remote Code Execution in OpenClaw

Ein einziger bösartiger Link. Mehr braucht es nicht, um auf einer ungepatchten OpenClaw-Instanz beliebige Befehle auszuführen. CVE-2026-25253 wurde am 1. Februar 2026 im NVD veröffentlicht, mit einem CVSS-Score von 8.8 (HIGH). Entdeckt hat die Schwachstelle Sicherheitsforscher Mav Levin von DepthFirst. Das belgische CCB hat kurz darauf eine "Patch Immediately"-Warnung herausgegeben.

Bei über 149.000 GitHub Stars und geschätzten 42.665 öffentlich erreichbaren Instanzen betrifft das nicht gerade wenige.

So funktioniert der Angriff

Der Exploit nutzt vier Schritte. Alles passiert in Millisekunden.

1. Der Angreifer schickt dem Opfer einen Link mit ?gatewayUrl=attacker.com/ws.
2. OpenClaws Control UI liest den URL-Parameter und verbindet sich automatisch. Dabei wird der Auth-Token an den Server des Angreifers gesendet.
3. Der Angreifer nutzt den gestohlenen Token, um sich per WebSocket zurückzuverbinden. Browser setzen die Same-Origin-Policy bei WebSocket-Verbindungen nicht durch. Keine Warnung, kein Popup.
4. Mit einem gültigen Token deaktiviert der Angreifer Sicherheitsfunktionen und führt beliebige Befehle auf dem Host aus.

Das Fiese daran? Selbst Instanzen, die nur auf localhost laufen, sind verwundbar. Dein Browser läuft auf derselben Maschine und kann localhost:18789 problemlos erreichen. Der Angreifer braucht keinen direkten Zugang zu deinem Server. Dein eigener Browser ist die Brücke.

Die Zahlen sprechen für sich

BitSight hat innerhalb von 48 Stunden nach der Veröffentlichung über 18.000 öffentlich erreichbare OpenClaw-Instanzen gefunden. Ein breiterer Scan identifizierte 42.665 exponierte Instanzen, davon 5.194 aktiv als verwundbar bestätigt.

Überleg dir, worauf eine typische OpenClaw-Instanz Zugriff hat. iMessage- und WhatsApp-Integrationen. Slack-Channels. Stripe API Keys. Auth-Tokens. Quellcode. Ein Klick, und all das liegt offen.

Die Lösung

OpenClaw v2026.1.29, veröffentlicht am 30. Januar 2026, hat einen Gateway-URL-Bestätigungsdialog eingeführt. Die UI verbindet sich nicht mehr stillschweigend mit jeder URL, die ein Query-Parameter vorgibt.

Wenn du OpenClaw selbst betreibst: Update jetzt auf v2026.1.29 oder neuer. Danach alle Auth-Tokens und API Keys rotieren, auf die deine Instanz Zugriff hat. Falls du eine ältere Version mit offenem Port betrieben hast, geh davon aus, dass deine Credentials kompromittiert sind.

ClawHosters-Kunden waren nicht betroffen

Wer seine OpenClaw-Instanz über die Managed-Hosting-Pläne von ClawHosters betreibt, war schon vor der Veröffentlichung dieses CVE geschützt. Unsere Sicherheitsarchitektur sorgt dafür, dass Managed-Instanzen automatische Updates erhalten, das Gateway niemals direkt über Browser-Traffic erreichbar ist und Container-Isolation laterale Bewegung verhindert, selbst wenn etwas schiefgeht.

Wer sich die Standard-Schutzmaßnahmen genauer ansehen möchte: Unser Security Hardening Guide und der integrierte Safety Scanner erklären, was bei jeder Instanz von Haus aus aktiv ist.