Powrót do strony głównej

Luki CWE-863 w parowaniu urządzeń OpenClaw

W OpenClaw wykryto sześć luk CWE-863 w module device pairing, umożliwiających eskalację uprawnień. Skala problemu: dziesiątki tysięcy publicznych instancji bez uwierzytelniania. Zalecana natychmiastowa aktualizacja i hardening.

6 luk CWE-863 w OpenClaw: eskalacja uprawnień w device pairing
Advertisement 728x90

# Sześć luk CWE-863 w podsystemie parowania urządzeń OpenClaw

W podsystemie parowania urządzeń OpenClaw, popularnego agenta AI z 348 000 gwiazdek na GitHub, w ciągu sześciu tygodni wykryto sześć luk klasy CWE-863 (Incorrect Authorization). Ostatnia, CVE-2026-33579 z CVSS 8.6, została naprawiona w wydaniu 2026.3.28 z 29 marca. Wszystkie defekty związane są z brakiem weryfikacji uprawnień autoryzowanego podmiotu podczas aprobowania nowych urządzeń.

Moduł device pairing nie weryfikuje przywilejów wywołującego przed wykonaniem operacji. Pozwala to na eskalację uprawnień bez dodatkowych środków kontroli.

Szczegóły CVE-2026-33579 i poprzedników

W CVE-2026-33579 polecenie /pair approve nie przekazywało kontekstu uprawnień użytkownika do sprawdzenia autoryzacji. Posiadacz roli operator.pairing mógł zainicjować parowanie urządzenia z żądaniem na operator.admin, a następnie samodzielnie je zatwierdzić. Prowadziło to do uzyskania podwyższonych uprawnień.

Google AdInline article slot

Poprzednia luka CVE-2026-32922 (CVSS 9.9) wykorzystywała endpoint rotacji tokenów do ominięcia weryfikacji uprawnień. Poprawka ukazała się w wersji 2026.3.11, ale bez aktualizacji do 2026.3.28 systemy pozostawały podatne na nowe ataki.

Skala problemu w produkcji

Według skanów SecurityScorecard z lutego ponad 135 000 instancji OpenClaw było dostępnych publicznie, 63% — bez jakiejkolwiek autentykacji. W marcu Censys odnotował spadek do 63 000, ale to wciąż znaczący wektor dla masowej eksploatacji.

Na instancjach bez autentykacji każdy napastnik może wykonać parowanie i aktywować eskalację. Brak podstawowej ochrony pogarsza ryzyka dla wdrożonych systemów.

Google AdInline article slot
  • Skala ekspozycji: ponad 135 tys. publicznych instancji w lutym.
  • Udział bez autentykacji: 63%.
  • Trend: Spadek do 63 tys. w marcu.
  • Ryzyka: Pełny dostęp do parowania urządzeń bez barier.

Poprawki nie rozwiązują problemu u źródła

Każda z sześciu poprawek zamykała specyficzny kodowy ścieżkę, ale model autoryzacji w device pairing pozostał niezmieniony. Brak oznak pełnego audytu architektonicznego podsystemu. Badacze prognozują nowe CVE w najbliższym czasie.

Twórcy OpenClaw nalegają na:

  • Aktualizację do 2026.3.28.
  • Włączenie autentykacji na wszystkich instancjach.
  • Monitorowanie kanału bezpieczeństwa projektu.

Co ważne

  • Sześć CWE-863 w parowaniu urządzeń OpenClaw w 6 tygodni, ostatnia CVSS 8.6.
  • Przyczyna źródłowa: brak weryfikacji uprawnień w /pair approve i podobnych.
  • Ponad 63 tys. publicznych instancji bez autentykacji — gotowy wektor do eksploatacji.
  • Poprawki objawowe, wymagany redesign architektoniczny autoryzacji.
  • Obowiązkowa aktualizacja i utwardzanie dla wdrożeń produkcyjnych.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Czytaj dalej