Volver al inicio

Vulnerabilidades CWE-863 en el emparejamiento de dispositivos OpenClaw

En OpenClaw, se identificaron seis vulnerabilidades CWE-863 en el módulo de emparejamiento de dispositivos, que permiten escalada de privilegios. Escala del problema: decenas de miles de instancias públicas sin autenticación. Se recomienda actualización inmediata y endurecimiento.

6 agujeros CWE-863 en OpenClaw: escalada de privilegios en el emparejamiento de dispositivos
Advertisement 728x90

Seis vulnerabilidades CWE-863 en el subsistema de emparejamiento de dispositivos de OpenClaw

En el subsistema de emparejamiento de dispositivos de OpenClaw, un popular agente de IA con 348.000 estrellas en GitHub, se descubrieron seis vulnerabilidades CWE-863 (Autorización incorrecta) a lo largo de seis semanas. La más reciente, CVE-2026-33579 con CVSS 8.6, se corrigió en la versión 2026.3.28 el 29 de marzo. Todos los defectos provienen de la falta de verificación de los permisos del sujeto autorizado al aprobar nuevos dispositivos.

El módulo de emparejamiento de dispositivos no valida los privilegios del llamador antes de ejecutar las operaciones. Esto permite la escalada de privilegios sin protecciones adicionales.

Detalles de CVE-2026-33579 y sus predecesoras

En CVE-2026-33579, el comando /pair approve no pasaba el contexto de permisos del usuario a la verificación de autorización. Un usuario con el rol operator.pairing podía iniciar el emparejamiento de dispositivos solicitando privilegios operator.admin y luego aprobarlo él mismo. Esto resultaba en privilegios elevados.

Google AdInline article slot

La vulnerabilidad anterior, CVE-2026-32922 (CVSS 9.9), explotaba el endpoint de rotación de tokens para eludir las verificaciones de permisos. El parche llegó en la versión 2026.3.11, pero sin actualizar a 2026.3.28, los sistemas seguían vulnerables a nuevos ataques.

Escala del problema en producción

Las exploraciones de SecurityScorecard en febrero mostraron más de 135.000 instancias de OpenClaw accesibles públicamente, con el 63% sin autenticación alguna. En marzo, Censys reportó una caída a 63.000, pero sigue siendo un vector importante para explotaciones masivas.

En instancias sin autenticación, cualquier atacante puede ejecutar el emparejamiento y desencadenar la escalada. La ausencia de protecciones básicas aumenta los riesgos para los sistemas desplegados.

Google AdInline article slot
  • Escala de exposición: Más de 135.000 instancias públicas en febrero.
  • Porcentaje sin autenticación: 63%.
  • Tendencia: Caída a 63.000 en marzo.
  • Riesgos: Acceso completo al emparejamiento de dispositivos sin barreras.

Los parches no resuelven el problema raíz

Cada uno de los seis parches abordó un camino específico de código, pero el modelo de autorización en el emparejamiento de dispositivos permaneció sin cambios. No hay evidencia de una auditoría arquitectónica integral para el subsistema. Los investigadores esperan nuevos CVE pronto.

Los desarrolladores de OpenClaw recomiendan:

  • Actualizar a 2026.3.28.
  • Habilitar autenticación en todas las instancias.
  • Monitorear el feed de seguridad del proyecto.

Lecciones clave

  • Seis vulnerabilidades CWE-863 en el emparejamiento de dispositivos de OpenClaw en 6 semanas, la última con CVSS 8.6.
  • Causa raíz: falta de validación de permisos en /pair approve y endpoints similares.
  • Más de 63.000 instancias públicas sin autenticación: un vector de explotación listo.
  • Los parches tratan síntomas; la arquitectura de autorización necesita un rediseño.
  • Actualizaciones obligatorias y endurecimiento para despliegues en producción.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Leer después