Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.28
2026.3.28
La vulnérabilité CVE-2026-33577 est une escalade de privilèges critique dans OpenClaw, affectant les versions jusqu'à 2026.3.24. Elle permet à un opérateur moins privilégié d'approuver des requêtes de nœud pour des scopes plus larges que ceux initialement demandés, ce qui peut entraîner une extension non autorisée des privilèges sur le nœud appairé. La correction a été intégrée à partir de la version 2026.3.28 et est disponible dans la dernière version stable.
Cette vulnérabilité permet à un attaquant d'exploiter une faille dans le processus d'approbation de l'appairage des nœuds. L'attaquant, agissant en tant qu'opérateur moins privilégié, peut approuver une requête de nœud pour des scopes plus larges que ceux initialement demandés. Cela lui permet d'obtenir des privilèges accrus sur le nœud appairé, potentiellement compromettant l'intégrité et la confidentialité des données. L'impact est significatif car il permet une escalade de privilèges sans nécessiter d'authentification préalable sur le nœud cible. Une exploitation réussie pourrait permettre à l'attaquant de lire, modifier ou supprimer des données sensibles, d'exécuter du code malveillant ou de compromettre l'ensemble du système OpenClaw.
Cette vulnérabilité a été découverte et signalée par @AntA. Le CVE a été publié le 2026-04-01. Aucune preuve d'exploitation active n'a été rapportée à ce jour, mais la sévérité critique (CVSS 9.8) indique un risque élevé. Il est conseillé de prendre des mesures correctives rapidement pour éviter une exploitation future. La vulnérabilité est présente dans le code source src/infra/node-pairing.ts et src/gateway/server-methods/nodes.ts.
Organizations deploying OpenClaw in production environments, particularly those with complex node pairing configurations or a large number of users with varying access privileges, are at significant risk. Shared hosting environments where multiple users share the same OpenClaw instance are also particularly vulnerable, as a compromised user could potentially escalate their privileges across the entire platform.
• nodejs / server:
journalctl -u openclaw | grep -i "node pairing approval"• nodejs / server:
ps aux | grep openclaw | grep -i "node pairing"• generic web: Review OpenClaw access logs for unusual approval patterns or requests for excessively broad scopes. Look for approvals originating from unexpected user accounts or IP addresses.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.3.28 ou ultérieure, qui inclut la correction. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux fonctions d'approbation de l'appairage des nœuds aux utilisateurs les plus privilégiés. Envisagez également de mettre en œuvre des règles de pare-feu applicatives (WAF) pour bloquer les requêtes suspectes visant à manipuler le processus d'approbation. Surveillez attentivement les journaux d'OpenClaw pour détecter toute activité inhabituelle liée à l'appairage des nœuds.
Mettez à jour OpenClaw à la version 2026.3.28 ou ultérieure. Cette version corrige la validation insuffisante des scopes dans le chemin d'approbation de l'appariement de nœuds, empêchant les opérateurs à faible privilège d'approuver des nœuds avec des scopes plus larges. La mise à jour atténue le risque que des attaquants étendent les privilèges à des nœuds appariés au-delà de leur niveau d'autorisation.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33577 is a CRITICAL vulnerability in OpenClaw versions <= 2026.3.24 that allows a lower-privileged user to escalate privileges by approving node pairing requests with broader scopes.
You are affected if you are running OpenClaw versions 2026.3.24 or earlier. Versions 2026.3.28 and later are patched.
Upgrade OpenClaw to version 2026.3.28 or later. The fix is implemented in commit 4d7cc6bb4f.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate attention and patching.
Refer to the OpenClaw security advisories on their official website or GitHub repository for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.