Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.28
2026.3.28
CVE-2026-33579 descreve uma vulnerabilidade de escalada de privilégios no OpenClaw. A falha permite que um usuário com privilégios de emparelhamento, mas sem privilégios de administrador, aprove solicitações de dispositivos pendentes que solicitam escopos mais amplos, incluindo acesso de administrador. As versões afetadas são OpenClaw 0–2026.3.28. A vulnerabilidade foi corrigida na versão 2026.3.28.
A vulnerabilidade CVE-2026-33579 no OpenClaw permite que um atacante com privilégios de pareamento, mas não de administrador, aprove uma solicitação de dispositivo pendente que solicita escopos mais amplos, incluindo acesso de administrador. Isso ocorre porque o comando /pair approve não encaminhava os escopos do chamador para a verificação de aprovação central. Um atacante, portanto, pode obter acesso não autorizado a funções e dados que normalmente exigiriam privilégios de administrador. A severidade desta vulnerabilidade é classificada como 9.5 na escala CVSS, indicando um risco crítico.
Esta vulnerabilidade pode ser explorada num ambiente onde os utilizadores têm privilégios de pareamento de dispositivos, mas não privilégios de administrador. Um atacante pode aproveitar esta situação para aprovar solicitações de dispositivos com permissões elevadas, obtendo assim acesso não autorizado a recursos sensíveis. A exploração é relativamente direta, exigindo apenas o conhecimento do comando /pair approve e a capacidade de iniciar uma solicitação de pareamento de dispositivo com permissões amplas. O risco é particularmente alto em ambientes onde o pareamento de dispositivos é comum e os controlos de acesso não estão devidamente configurados.
Organizations utilizing OpenClaw for device management and authentication are at risk, particularly those with complex device pairing workflows or environments where users may have been granted pairing privileges without proper administrative oversight. Shared hosting environments using OpenClaw are also at increased risk due to potential cross-tenant vulnerabilities.
• nodejs / server:
npm audit openclaw• nodejs / server:
npm list openclaw• generic web: Inspect OpenClaw logs for unusual device approval requests originating from non-admin users. Look for patterns indicating scope escalation attempts. • generic web: Review OpenClaw configuration files for any misconfigured access controls related to device pairing.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Para mitigar esta vulnerabilidade, recomenda-se vivamente atualizar o OpenClaw para a versão 2026.3.28 ou superior. Esta versão inclui uma correção que garante que os escopos do chamador são encaminhados corretamente durante o processo de aprovação do dispositivo. Se uma atualização imediata não for possível, considere rever e restringir as permissões de pareamento, limitando o número de utilizadores com estes privilégios e auditar regularmente as solicitações de pareamento de dispositivos. A atualização para a versão estável mais recente, 2026.3.28, é a solução mais eficaz e recomendada.
Actualice OpenClaw a la versión 2026.3.28 o superior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la falta de validación del alcance del llamador en el proceso de aprobación de dispositivos, previniendo que usuarios con privilegios de emparejamiento aprovechen la vulnerabilidad para obtener acceso administrativo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
OpenClaw é uma plataforma de software que facilita o pareamento e a gestão de dispositivos. Permite aos utilizadores conectar dispositivos a sistemas e aplicações de forma segura.
Se estiver a utilizar o OpenClaw numa versão anterior a 2026.3.28, poderá estar vulnerável à escalada de privilégios. Um atacante pode obter acesso administrativo sem autorização.
Enquanto não conseguir atualizar, reveja e restrinja as permissões de pareamento e audite as solicitações de pareamento de dispositivos.
Atualmente, não existem ferramentas específicas para detetar esta vulnerabilidade. A melhor forma de confirmar é verificar a versão do OpenClaw que está a utilizar.
Pode encontrar mais informações sobre esta vulnerabilidade nos recursos de segurança do OpenClaw e nas bases de dados de vulnerabilidades como o CVE.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.