Šest zranitelností CWE-863 v podsystému device pairing OpenClaw
V podsystému připojování zařízení OpenClaw, populárního AI agenta s 348 000 hvězdičkami na GitHubu, bylo za šest týdnů odhaleno šest zranitelností třídy CWE-863 (Incorrect Authorization). Poslední, CVE-2026-33579 s CVSS 8.6, byla opravena v releasu 2026.3.28 z 29. března. Všechny defekty souvisí s absencí kontroly práv autorizovaného subjektu při schvalování nových zařízení.
Modul device pairing nevaliduje privilegia volajícího před provedením operací. To umožňuje eskalaci práv bez dalších kontrolních opatření.
Podrobnosti CVE-2026-33579 a předchůdců
V CVE-2026-33579 příkaz /pair approve nepředával kontext práv uživatele do authorization check. Držitel role operator.pairing mohl iniciovat pairing zařízení s požadavkem na operator.admin a poté jej sám schválit. To vedlo k získání zvýšených privilegií.
Předchozí zranitelnost CVE-2026-32922 (CVSS 9.9) využívala endpoint rotace tokenů k obcházení kontroly práv. Patch vyšel ve verzi 2026.3.11, ale bez aktualizace na 2026.3.28 systémy zůstaly náchylné k novým útokům.
Rozsah problému v production
Podle skenů SecurityScorecard z února bylo více než 135 000 instancí OpenClaw veřejně dostupných, 63 % – bez jakékoli autentifikace. V březnu Censys zaznamenal pokles na 63 000, ale stále jde o významný vektor pro masivní exploataci.
Na instancích bez auth může kterýkoli útočník provést pairing a aktivovat eskalaci. Absence základní ochrany zhoršuje rizika pro nasazené systémy.
- Rozsah expozice: 135k+ veřejných instancí v únoru.
- Podíl bez autentifikace: 63 %.
- Trend: Pokles na 63k k březnu.
- Rizika: Plný přístup k device pairing bez bariér.
Patche neřeší kořen problému
Každý ze šesti patchů uzavíral specifickou kódovou cestu, ale model autorizace v device pairing zůstal nezměněn. Nejsou známky úplného architektonického auditu podsystému. Výzkumníci předpovídají nové CVE v blízké době.
Vývojáři OpenClaw naléhají na:
- Aktualizaci na 2026.3.28.
- Zapnutí autentifikace na všech instancích.
- Monitorování security feed projektu.
Co je důležité
- Šest CWE-863 v device pairing OpenClaw za 6 týdnů, poslední CVSS 8.6.
- Kořenová příčina: absence validace práv v
/pair approvea podobných. - 63k+ veřejných instancí bez auth – připravený vektor pro exploataci.
- Patche symptomatické, vyžadován architektonický redizajn autorizace.
- Povinná aktualizace a hardening pro production-deploje.
— Editorial Team
Zatím žádné komentáře.