Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong gói npm phổ biến ClawDBot, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống chỉ thông qua một liên kết độc hại duy nhất. Lỗ hổng này tận dụng cơ chế tự động kết nối và xác thực lỏng lẻo để đánh cắp mã thông báo truy cập của người dùng.

Các chuyên gia bảo mật vừa cảnh báo về lỗ hổng GHSA-g8p2-7wf7-98mq ảnh hưởng đến các phiên bản ClawDBot từ v2026.1.28 trở về trước. Vấn đề nằm ở việc Control UI của ứng dụng chấp nhận tham số gatewayUrl từ chuỗi truy vấn mà không qua kiểm tra, đồng thời tự động thiết lập kết nối WebSocket ngay khi tải trang.

Trong quá trình này, authentication token được lưu trữ sẽ tự động gửi đến máy chủ do kẻ tấn công chỉ định. Bằng cách lừa người dùng nhấn vào một liên kết phishing, tin tặc có thể dễ dàng đánh cắp token và giành quyền truy cập mức operator vào Gateway API.

Rủi ro và tác động chính:

• Thực thi mã từ xa (RCE): Kẻ tấn công có thể sửa đổi cấu hình gateway, cài đặt sandbox và chính sách công cụ để chiếm quyền kiểm soát hoàn toàn hệ thống vật chủ.
• Vượt qua rào cản mạng: Lỗ hổng vẫn có thể bị khai thác ngay cả khi hệ thống chỉ lắng nghe trên localhost, vì trình duyệt của nạn nhân là bên chủ động tạo kết nối ra ngoài.

Khuyến nghị

Người dùng cần cập nhật ngay lập tức lên phiên bản ClawDBot v2026.1.29. Bản vá này bổ sung bước xác nhận thủ công từ người dùng trước khi kết nối với các URL gateway mới. Đồng thời, các tổ chức nên kiểm tra lại nhật ký truy cập để phát hiện các hoạt động token bất thường.