CVE-2026-32922 OpenClaw : Corriger la Faille Escalade Privilèges

CVE-2026-32922 OpenClaw : tout comprendre et corriger la faille

La CVE-2026-32922 OpenClaw est une faille critique d'escalade de privilèges notée 9,9/10 sur CVSS 3.1 (9,4 sur CVSS 4.0), parmi les plus sévères divulguées dans l'écosystème agentique en 2026. En une seule requête API, un attaquant transforme un simple token d'appairage en contrôle administrateur complet, avec exécution de code à distance (RCE) sur la passerelle et tous les nœuds connectés.

Si vous exploitez OpenClaw, la réponse à la CVE-2026-32922 est immédiate : mettre à jour vers la v2026.3.11 minimum, idéalement v2026.3.21. Ce guide explique la faille, les versions concernées et les mitigations à appliquer si vous ne pouvez pas patcher tout de suite.

Sommaire

• CVE-2026-32922 OpenClaw : résumé exécutif
• En quoi consiste la faille d'escalade de privilèges ?
• Quelles versions d'OpenClaw sont vulnérables ?
• Comment corriger la CVE-2026-32922 OpenClaw ?
• Mitigations temporaires si vous ne pouvez pas patcher
• CVE-2026-32922 et le contexte sécurité OpenClaw 2026
• FAQ : CVE-2026-32922 OpenClaw

En quoi consiste la faille d'escalade de privilèges ?

La CVE-2026-32922 OpenClaw se situe dans la fonction device.token.rotate, chargée de renouveler les tokens des appareils appairés. Le défaut : cette fonction ne contraint pas les scopes (périmètres de droits) des nouveaux tokens au sous-ensemble des scopes de l'appelant.

Concrètement, un attaquant disposant uniquement du scope operator.pairing — le niveau le plus bas, attribué à n'importe quel appareil appairé — peut forger un token doté d'un scope bien plus large, jusqu'à operator.admin. Ce token administrateur ouvre la voie à une exécution de code à distance sur la passerelle OpenClaw et sur l'ensemble des nœuds qui y sont rattachés.

Les caractéristiques qui rendent la CVE-2026-32922 OpenClaw si dangereuse :

• Prérequis minimes : un seul appareil appairé avec le scope par défaut suffit.
• Rayon d'impact maximal : compromission totale de la passerelle et de tous les nœuds connectés.
• Exploitation triviale : un unique appel API, sans chaîne d'exploitation complexe.

Ce type de vulnérabilité illustre un risque structurel des agents IA autonomes que nous documentons dans notre guide de protection OpenClaw : un agent compromis n'expose pas seulement des données, il exécute des actions avec des privilèges étendus.

Quelles versions d'OpenClaw sont vulnérables ?

Vous êtes vulnérable à la CVE-2026-32922 OpenClaw si vous exécutez n'importe quelle version antérieure à la v2026.3.11. La faille a été publiée le 29 mars 2026 ; le correctif a été livré le 13 mars 2026 dans la v2026.3.11.

Repères de versions à connaître :

• Avant v2026.3.11 : vulnérable, action requise immédiatement.
• v2026.3.11 : version corrigée minimale, faille fermée.
• v2026.3.21 : ligne de base de sécurité recommandée par la communauté (correctifs cumulés).

Pour vérifier votre version, consultez l'interface d'administration ou la commande de diagnostic d'OpenClaw. Si vous avez installé via Docker, la version exposée dans le tag de l'image fait foi — notre tutoriel d'installation Docker explique comment épingler et mettre à jour proprement une image.

Comment corriger la CVE-2026-32922 OpenClaw ?

Le correctif officiel introduit une fonction scopeIntersection dans la gestion d'appairage, qui force tout nouveau token à rester un sous-ensemble strict des scopes de l'appelant. La marche à suivre :

• Étape 1 — Sauvegardez votre configuration et vos données OpenClaw avant toute opération.
• Étape 2 — Mettez à jour vers la v2026.3.21 (recommandée) ou a minima v2026.3.11. En Docker, mettez à jour le tag d'image puis relancez la stack.
• Étape 3 — Révoquez tous les tokens existants dotés du scope operator.pairing, potentiellement déjà exploités.
• Étape 4 — Réappairez les appareils légitimes avec des scopes minimaux.
• Étape 5 — Auditez les logs à la recherche d'appels anormaux à device.token.rotate ou de créations de tokens operator.admin inattendues.

Cette procédure de mise à jour s'inscrit dans une politique de patch management plus large, indispensable en entreprise et détaillée dans notre guide de déploiement OpenClaw en entreprise.

Mitigations temporaires si vous ne pouvez pas patcher

Si une mise à jour immédiate est impossible (fenêtre de maintenance, dépendances), appliquez ces mitigations pour réduire la surface d'exposition à la CVE-2026-32922 OpenClaw :

• Révoquer les tokens operator.pairing non strictement nécessaires.
• Lier la passerelle à localhost pour qu'elle ne soit pas joignable depuis le réseau.
• Filtrer le port 18789 au pare-feu et n'autoriser que des IP de confiance.
• Surveiller en temps réel les appels device.token.rotate et alerter sur toute élévation de scope.

Ces mesures ne remplacent pas le correctif : elles ne font que limiter la fenêtre de risque. Le patch reste la seule réponse définitive à la CVE-2026-32922 OpenClaw.

CVE-2026-32922 et le contexte sécurité OpenClaw 2026

La CVE-2026-32922 OpenClaw n'est pas un incident isolé. 2026 a été marquée par un rythme de vulnérabilités sans précédent sur le projet, avec plus de 130 CVE recensées et une vague particulièrement dense en mars. Cette tendance a conduit le CERT-FR à alerter officiellement les organisations françaises ; nous avons analysé ce bulletin et la réponse d'OpenClaw dans notre dossier CERT-FR alerte sur OpenClaw.

La leçon de la CVE-2026-32922 OpenClaw est claire : la puissance des agents IA autonomes impose une discipline de sécurité de niveau production. Veille CVE active, mises à jour rapides, principe du moindre privilège sur les scopes et isolation réseau ne sont plus optionnels — ils conditionnent la viabilité d'un déploiement OpenClaw en entreprise.

FAQ : CVE-2026-32922 OpenClaw

Quelle est la gravité de la CVE-2026-32922 OpenClaw ?

Critique. Elle est notée 9,9/10 sur CVSS 3.1 et 9,4/10 sur CVSS 4.0. Elle permet une escalade de privilèges menant à une exécution de code à distance avec un seul appel API et des prérequis minimes.

Quelle version d'OpenClaw corrige la CVE-2026-32922 ?

La v2026.3.11, publiée le 13 mars 2026, ferme la faille. La communauté recommande toutefois de viser au minimum la v2026.3.21, qui cumule des correctifs supplémentaires.

Comment savoir si mon instance OpenClaw a été exploitée ?

Auditez les logs à la recherche d'appels inhabituels à device.token.rotate et de créations de tokens avec un scope operator.admin non justifié. En cas de doute, révoquez tous les tokens, réappairez les appareils et suivez notre guide de protection OpenClaw.

Puis-je continuer à utiliser OpenClaw malgré la CVE-2026-32922 ?

Oui, une fois la mise à jour appliquée. OpenClaw reste un agent IA open source puissant ; la CVE-2026-32922 est corrigée et gérable. Le vrai sujet est la rigueur de votre processus de patch et de durcissement.

La CVE-2026-32922 concerne-t-elle aussi les installations Docker ?

Oui, toute installation antérieure à la v2026.3.11 est concernée, y compris Docker. Mettez à jour le tag d'image vers une version corrigée et relancez la stack, comme expliqué dans notre tutoriel d'installation Docker.

Quelle mitigation appliquer si je ne peux pas patcher immédiatement ?

Révoquez les tokens operator.pairing inutiles, liez la passerelle à localhost, filtrez le port 18789 au pare-feu et surveillez les appels device.token.rotate. Ces mesures réduisent le risque mais ne remplacent pas le correctif.