平台
nodejs
组件
openclaw
修复版本
2026.3.28
2026.3.28
CVE-2026-33579是OpenClaw中存在的一个权限提升漏洞。该漏洞允许具有配对权限但没有管理员权限的调用者,通过利用缺失的范围验证来批准请求更广泛范围(包括管理员访问权限)的待处理设备请求。受影响的版本包括0到2026.3.28的版本。此漏洞已在2026.3.28版本中修复。
OpenClaw 中的 CVE-2026-33579 允许具有配对权限但没有管理员权限的攻击者批准请求更广泛范围(包括管理员访问权限)的待处理设备请求。这是因为 /pair approve 命令没有将调用方范围转发到核心审批检查。因此,攻击者可能会获得对通常需要管理员权限的函数和数据的未经授权的访问。此漏洞的严重程度在 CVSS 规模上评为 9.5,表明存在关键风险。
此漏洞可能在用户具有设备配对权限但没有管理员权限的环境中被利用。攻击者可以利用这种情况来批准具有提升权限的设备请求,从而获得对敏感资源的未经授权的访问。利用相对简单,只需要了解 /pair approve 命令以及启动具有广泛权限的设备配对请求的能力。在设备配对普遍且访问控制未正确配置的环境中,风险尤其高。
Organizations utilizing OpenClaw for device management and authentication are at risk, particularly those with complex device pairing workflows or environments where users may have been granted pairing privileges without proper administrative oversight. Shared hosting environments using OpenClaw are also at increased risk due to potential cross-tenant vulnerabilities.
• nodejs / server:
npm audit openclaw• nodejs / server:
npm list openclaw• generic web: Inspect OpenClaw logs for unusual device approval requests originating from non-admin users. Look for patterns indicating scope escalation attempts. • generic web: Review OpenClaw configuration files for any misconfigured access controls related to device pairing.
disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
为了减轻此漏洞,强烈建议将 OpenClaw 更新到 2026.3.28 或更高版本。此版本包含一个修复程序,可确保在设备审批过程中正确传递调用方范围。如果无法立即更新,请考虑审查并限制配对权限,限制拥有这些权限的用户数量,并定期审核设备配对请求。升级到最新稳定版本 2026.3.28 是最有效和推荐的解决方案。
请将 OpenClaw 更新至 2026.3.28 或更高版本。此版本修复了在设备批准期间正确验证调用者范围的权限提升漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
OpenClaw 是一个软件平台,可简化设备配对和管理。它允许用户安全地将设备连接到系统和应用程序。
如果您在使用低于 2026.3.28 版本的 OpenClaw,则可能容易受到特权提升的影响。攻击者可能会在未经授权的情况下获得管理员访问权限。
在您无法更新之前,请审查并限制配对权限,并审核设备配对请求。
目前没有用于检测此漏洞的特定工具。确认的最佳方法是验证您使用的 OpenClaw 版本。
您可以在 OpenClaw 安全资源和 CVE 等漏洞数据库中找到有关此漏洞的更多信息。