OpenClaw < 2026.3.28 - node.pair.approve में अपर्याप्त स्कोप सत्यापन

OpenClaw में CVE-2026-33577 एक कम विशेषाधिकार वाले ऑपरेटर को व्यापक स्कोप के लिए एक लंबित नोड अनुरोध को स्वीकृत करने की अनुमति देता है, जिससे युग्मित नोड पर विशेषाधिकार का उन्नयन हो सकता है। विशेष रूप से, नोड युग्मन अनुमोदन पथ लगातार यह लागू नहीं करता था कि अनुमोदन करने वाला कॉलर पहले से ही नोड द्वारा अनुरोधित सभी स्कोप को रखता है। इसका मतलब है कि कम विशेषाधिकार वाले उपयोगकर्ता एक ऐसे अनुरोध को स्वीकृत कर सकते हैं जो उन्हें उन संसाधनों या कार्यों तक पहुंच प्रदान करता है जो उनके पास सामान्य रूप से नहीं होंगे।

Organizations deploying OpenClaw in production environments, particularly those with complex node pairing configurations or a large number of users with varying access privileges, are at significant risk. Shared hosting environments where multiple users share the same OpenClaw instance are also particularly vulnerable, as a compromised user could potentially escalate their privileges across the entire platform.

• nodejs / server:

  journalctl -u openclaw | grep -i "node pairing approval"

• nodejs / server:

  ps aux | grep openclaw | grep -i "node pairing"

• generic web: Review OpenClaw access logs for unusual approval patterns or requests for excessively broad scopes. Look for approvals originating from unexpected user accounts or IP addresses.

1. 2026-04-01Disclosure

   disclosure

1. आरक्षित2026-03-23
2. प्रकाशित2026-04-01
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-08

इस भेद्यता को कम करने के लिए, OpenClaw संस्करण 2026.3.28 या बाद के संस्करण में अपग्रेड करें। इस संस्करण में एक फिक्स शामिल है जो यह सुनिश्चित करता है कि नोड युग्मन अनुमोदन प्रक्रिया कनेक्शन की अनुमति देने से पहले अनुमोदनकर्ता के पास आवश्यक स्कोप हैं या नहीं, इसकी सही ढंग से जांच करती है। संभावित हमलों से अपने सिस्टम को बचाने के लिए इस अपडेट को जल्द से जल्द लागू करना महत्वपूर्ण है। इसके अतिरिक्त, उपयोगकर्ता एक्सेस नीतियों और अनुमतियों की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि न्यूनतम विशेषाधिकार के सिद्धांत का पालन किया जाता है।