Bug OpenClaw Memungkinkan Eksekusi Kode Jarak Jauh dengan Satu Klik Melalui Tautan Berbahaya

Bug OpenClaw Memungkinkan Eksekusi Kode Jarak Jauh dengan Satu Klik Melalui Tautan Berbahaya

Posted by : Admin , Feb 04, 2026
Sebuah kerentanan tingkat tinggi telah ditemukan dalam OpenClaw (dulu dikenal sebagai Clawdbot dan Moltbot) yang memungkinkan eksekusi kode dari jarak jauh (RCE) melalui link berbahaya yang dibuat secara khusus.

Isu ini, yang diidentifikasi sebagai CVE-2026-25253 (dengan skor CVSS: 8.8), telah diperbaiki pada versi 2026. 1.29 yang dirilis pada tanggal 30 Januari 2026. Kerentanan ini dijelaskan sebagai eksploitasi token yang dapat mengakibatkan kontrol penuh atas gateway.

“Antarmuka Pengguna Kontrol mempercayai gatewayUrl dari string kueri tanpa melakukan validasi dan secara otomatis terhubung saat dimuat, mengirimkan token gateway yang tersimpan dalam payload koneksi WebSocket,” ungkap Peter Steinberger, pendiri dan pengelola OpenClaw, dalam sebuah pengumuman.

“Mengklik link yang telah dirancang atau mengunjungi situs berbahaya dapat mengirim token ke server yang dikelola oleh penyerang. Penyerang kemudian bisa terhubung ke gateway lokal korban, mengubah konfigurasi (sandbox, kebijakan alat), dan melakukan tindakan berprivilege yang mencapai RCE (Remote Code Execution) hanya dengan satu klik. ”

OpenClaw adalah asisten pribadi dengan kecerdasan buatan (AI) terbuka yang berjalan di perangkat pengguna dan terintegrasi dengan berbagai platform komunikasi. Meski diluncurkan pada November 2025, proyek ini telah dengan cepat menarik perhatian dalam beberapa minggu terakhir, dengan repositori GitHub-nya melampaui 149.000 bintang pada saat ini.

Sumber : https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html