OpenClaw 1-Click RCE 취약점

■ OpenClaw 1-Click RCE 취약점

📌OpenClaw 1-Click RCE 취약점(CVE-2026-25253)

오픈소스 개인용 AI 에이전트 OpenClaw에서, 운영 환경에 따라 원격 코드 실행(RCE)로 연계될 수 있는 인증 토큰 탈취 취약점이 공개되었으며, CVE-2026-25253으로 명명됐습니다.

해당 취약점은 OpenClaw v2026.1.29미만 버전이 영향을 받습니다. 공격자는 OpenClaw의 웹 기반 인터페이스에서 URL 파라미터 처리 과정의 입력값 검증 부재를 악용해, 사용자의 인증 정보가 공격자 서버로 전송하도록 강제할 수 있습니다. 그 결과 공격자는 사용자의 브라우저를 징검다리 삼아 피해자의 내부망에 존재하는 OpenClaw 서버에 명령 실행을 요청할 수 있습니다. 이후, 서버에 임의의 명령을 전달할 수 있게 되며, 이는 내부 시스템 장악, 데이터 유출, 서비스 마비 등 심각한 피해로 이어질 수 있습니다.

해당 취약점은 v2026.1.29에서 일부 수정되었으며, v2026.2.25에서 해결되어 취약한 OpenClaw는 v2026.2.25 이상으로 업그레이드하는 것을 권장합니다.

SK쉴더스 화이트해커 그룹 EQST의 최신 보안 인사이트가 담긴 EQST insight 전문이 궁금하다면, ‘더 알아보기’를 클릭해보세요!

👉 더 알아보기:https://www.skshieldus.com/report/eqstInsight/rt2603.html

✅EQST(이큐스트)는 ‘Experts, Qualified Security Team’ 이라는 뜻으로 사이버 위협 분석 및 연구 분야에서 검증된 최고 수준의 보안 전문가 그룹입니다.