Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.28
2026.3.28
La CVE-2026-33579 décrit une vulnérabilité d'escalade de privilèges dans OpenClaw. Un utilisateur mal intentionné, disposant de privilèges de couplage mais pas d'administration, peut approuver des requêtes d'appareils en attente demandant des droits d'accès plus larges, y compris l'accès administrateur. Les versions affectées sont celles antérieures à la version 2026.3.28. Cette vulnérabilité est corrigée dans la version 2026.3.28.
La vulnérabilité CVE-2026-33579 dans OpenClaw permet à un attaquant disposant de privilèges d'appariement mais pas de privilèges d'administrateur d'approuver des demandes d'appareils en attente demandant des étendues plus larges, y compris un accès administrateur. Cela est dû au fait que la commande /pair approve ne transmettait pas les étendues de l'appelant à la vérification d'approbation centrale. Un attaquant peut donc obtenir un accès non autorisé à des fonctions et à des données qui nécessiteraient normalement des privilèges d'administrateur. La gravité de cette vulnérabilité est notée 9,5 sur l'échelle CVSS, indiquant un risque critique.
Cette vulnérabilité pourrait être exploitée dans un environnement où les utilisateurs disposent de privilèges d'appariement d'appareils mais pas de privilèges d'administrateur. Un attaquant pourrait exploiter cette situation pour approuver des demandes d'appareils avec des autorisations élevées, obtenant ainsi un accès non autorisé à des ressources sensibles. L'exploitation est relativement simple, ne nécessitant que la connaissance de la commande /pair approve et la capacité d'initier une demande d'appariement d'appareil avec des autorisations larges. Le risque est particulièrement élevé dans les environnements où l'appariement d'appareils est courant et que les contrôles d'accès ne sont pas correctement configurés.
Organizations utilizing OpenClaw for device management and authentication are at risk, particularly those with complex device pairing workflows or environments where users may have been granted pairing privileges without proper administrative oversight. Shared hosting environments using OpenClaw are also at increased risk due to potential cross-tenant vulnerabilities.
• nodejs / server:
npm audit openclaw• nodejs / server:
npm list openclaw• generic web: Inspect OpenClaw logs for unusual device approval requests originating from non-admin users. Look for patterns indicating scope escalation attempts. • generic web: Review OpenClaw configuration files for any misconfigured access controls related to device pairing.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Pour atténuer cette vulnérabilité, il est fortement recommandé de mettre à jour OpenClaw vers la version 2026.3.28 ou ultérieure. Cette version inclut une correction qui garantit que les étendues de l'appelant sont correctement transmises pendant le processus d'approbation de l'appareil. Si une mise à jour immédiate n'est pas possible, envisagez de revoir et de restreindre les autorisations d'appariement, en limitant le nombre d'utilisateurs disposant de ces privilèges, et en auditant régulièrement les demandes d'appariement d'appareils. La mise à niveau vers la dernière version stable, 2026.3.28, est la solution la plus efficace et recommandée.
Actualice OpenClaw a la versión 2026.3.28 o superior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la falta de validación del alcance del llamador en el proceso de aprobación de dispositivos, previniendo que usuarios con privilegios de emparejamiento aprovechen la vulnerabilidad para obtener acceso administrativo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
OpenClaw est une plateforme logicielle qui facilite l'appariement et la gestion des appareils. Elle permet aux utilisateurs de connecter des appareils à des systèmes et des applications de manière sécurisée.
Si vous utilisez OpenClaw dans une version antérieure à 2026.3.28, vous pouvez être vulnérable à l'escalade de privilèges. Un attaquant pourrait obtenir un accès administratif sans autorisation.
Tant que vous ne pouvez pas mettre à jour, examinez et restreignez les autorisations d'appariement et auditez les demandes d'appariement d'appareils.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. Le meilleur moyen de confirmer est de vérifier la version d'OpenClaw que vous utilisez.
Vous pouvez trouver plus d'informations sur cette vulnérabilité sur les ressources de sécurité d'OpenClaw et les bases de données de vulnérabilités comme CVE.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.