Zpět na domů

Zranitelnosti CWE-863 v OpenClaw device pairing

V OpenClaw odhaleno šest zranitelností CWE-863 v modulu device pairing, umožňujících eskalaci práv. Rozsah problému: desítky tisíc veřejných instancí bez autentifikace. Doporučuje se okamžitá aktualizace a hardening.

6 děr CWE-863 v OpenClaw: eskalace práv v device pairing
Advertisement 728x90

Šest zranitelností CWE-863 v podsystému device pairing OpenClaw

V podsystému připojování zařízení OpenClaw, populárního AI agenta s 348 000 hvězdičkami na GitHubu, bylo za šest týdnů odhaleno šest zranitelností třídy CWE-863 (Incorrect Authorization). Poslední, CVE-2026-33579 s CVSS 8.6, byla opravena v releasu 2026.3.28 z 29. března. Všechny defekty souvisí s absencí kontroly práv autorizovaného subjektu při schvalování nových zařízení.

Modul device pairing nevaliduje privilegia volajícího před provedením operací. To umožňuje eskalaci práv bez dalších kontrolních opatření.

Podrobnosti CVE-2026-33579 a předchůdců

V CVE-2026-33579 příkaz /pair approve nepředával kontext práv uživatele do authorization check. Držitel role operator.pairing mohl iniciovat pairing zařízení s požadavkem na operator.admin a poté jej sám schválit. To vedlo k získání zvýšených privilegií.

Google AdInline article slot

Předchozí zranitelnost CVE-2026-32922 (CVSS 9.9) využívala endpoint rotace tokenů k obcházení kontroly práv. Patch vyšel ve verzi 2026.3.11, ale bez aktualizace na 2026.3.28 systémy zůstaly náchylné k novým útokům.

Rozsah problému v production

Podle skenů SecurityScorecard z února bylo více než 135 000 instancí OpenClaw veřejně dostupných, 63 % – bez jakékoli autentifikace. V březnu Censys zaznamenal pokles na 63 000, ale stále jde o významný vektor pro masivní exploataci.

Na instancích bez auth může kterýkoli útočník provést pairing a aktivovat eskalaci. Absence základní ochrany zhoršuje rizika pro nasazené systémy.

Google AdInline article slot
  • Rozsah expozice: 135k+ veřejných instancí v únoru.
  • Podíl bez autentifikace: 63 %.
  • Trend: Pokles na 63k k březnu.
  • Rizika: Plný přístup k device pairing bez bariér.

Patche neřeší kořen problému

Každý ze šesti patchů uzavíral specifickou kódovou cestu, ale model autorizace v device pairing zůstal nezměněn. Nejsou známky úplného architektonického auditu podsystému. Výzkumníci předpovídají nové CVE v blízké době.

Vývojáři OpenClaw naléhají na:

  • Aktualizaci na 2026.3.28.
  • Zapnutí autentifikace na všech instancích.
  • Monitorování security feed projektu.

Co je důležité

  • Šest CWE-863 v device pairing OpenClaw za 6 týdnů, poslední CVSS 8.6.
  • Kořenová příčina: absence validace práv v /pair approve a podobných.
  • 63k+ veřejných instancí bez auth – připravený vektor pro exploataci.
  • Patche symptomatické, vyžadován architektonický redizajn autorizace.
  • Povinná aktualizace a hardening pro production-deploje.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Číst dál