Retour à l'accueil

Vulnérabilités CWE-863 dans l'appairage des appareils OpenClaw

Dans OpenClaw, six vulnérabilités CWE-863 ont été identifiées dans le module d'appairage des appareils, permettant l'escalade de privilèges. Échelle du problème : des dizaines de milliers d'instances publiques sans authentification. Mise à jour immédiate et durcissement recommandés.

6 failles CWE-863 dans OpenClaw : escalade de privilèges dans l'appairage des appareils
Advertisement 728x90

Six vulnérabilités CWE-863 dans le sous-système d'appariement des appareils d'OpenClaw

Dans le sous-système d'appariement des appareils d'OpenClaw, un agent IA populaire comptant 348 000 étoiles sur GitHub, six vulnérabilités CWE-863 (autorisation incorrecte) ont été découvertes en l'espace de six semaines. La plus récente, CVE-2026-33579 avec un CVSS de 8,6, a été corrigée dans la version 2026.3.28 le 29 mars. Tous les défauts proviennent d'un manque de vérification des permissions du sujet autorisé lors de l'approbation de nouveaux appareils.

Le module d'appariement des appareils ne valide pas les privilèges de l'appelant avant d'exécuter les opérations. Cela permet une escalade de privilèges sans protections supplémentaires.

Détails de CVE-2026-33579 et de ses prédécesseurs

Dans CVE-2026-33579, la commande /pair approve ne transmettait pas le contexte de permissions de l'utilisateur à la vérification d'autorisation. Un utilisateur doté du rôle operator.pairing pouvait initier l'appariement d'un appareil en demandant des privilèges operator.admin, puis l'approuver lui-même. Cela aboutissait à des privilèges élevés.

Google AdInline article slot

La vulnérabilité précédente, CVE-2026-32922 (CVSS 9,9), exploitait le point de terminaison de rotation des jetons pour contourner les vérifications de permissions. Le correctif est arrivé dans la version 2026.3.11, mais sans mise à niveau vers 2026.3.28, les systèmes restaient vulnérables à de nouvelles attaques.

Ampleur du problème en production

Les scans de SecurityScorecard de février ont révélé plus de 135 000 instances OpenClaw accessibles publiquement, dont 63 % sans aucune authentification. En mars, Censys a signalé une baisse à 63 000, mais cela reste un vecteur majeur pour des exploitations massives.

Sur les instances non authentifiées, n'importe quel attaquant peut exécuter l'appariement et déclencher une escalade. L'absence de protections de base accroît les risques pour les systèmes déployés.

Google AdInline article slot
  • Étendue de l'exposition : 135k+ instances publiques en février.
  • Part non authentifiée : 63 %.
  • Tendance : Baisse à 63k en mars.
  • Risques : Accès complet à l'appariement des appareils sans barrières.

Les correctifs ne résolvent pas le problème racine

Chacun des six correctifs corrigeait un chemin de code spécifique, mais le modèle d'autorisation dans l'appariement des appareils est resté inchangé. Aucune preuve d'un audit architectural complet du sous-système. Les chercheurs s'attendent à de nouvelles CVE sous peu.

Les développeurs d'OpenClaw recommandent :

  • Mise à jour vers 2026.3.28.
  • Activation de l'authentification sur toutes les instances.
  • Surveillance du flux de sécurité du projet.

Enseignements clés

  • Six vulnérabilités CWE-863 dans l'appariement des appareils OpenClaw en 6 semaines, dernière CVSS 8,6.
  • Cause racine : absence de validation des permissions dans /pair approve et endpoints similaires.
  • 63k+ instances publiques sans authentification — un vecteur d'exploitation prêt à l'emploi.
  • Les correctifs traitent les symptômes ; l'architecture d'autorisation nécessite une refonte.
  • Mises à jour obligatoires et durcissement pour les déploiements en production.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Lire ensuite