Vulnérabilité d’élévation de privilèges dans OpenClaw (CVE-2026-33579)

• Une vulnérabilité d’élévation de privilèges permettant à des utilisateurs non administrateurs d’approuver des demandes de privilèges administrateur a été découverte dans les versions antérieures à OpenClaw 2026.3.28
• Dans la commande /pair approve, l’omission de la transmission du scope empêche une vérification correcte de l’approbation, entraînant un problème d’autorisation incorrecte (CWE-863)
• Cette vulnérabilité est évaluée à 8,6 selon CVSS v4.0 et 8,1 selon CVSS v3.1, soit dans les deux cas une sévérité élevée (HIGH)
• Le code vulnérable se trouve dans extensions/device-pair/index.ts et src/infra/device-pairing.ts, et le problème a été corrigé dans la version 2026.3.28
• Les utilisateurs et les administrateurs doivent mettre à jour vers une version corrigée et consulter l’avis de sécurité GitHub (GHSA-hc5h-pmr3-3497)

Aperçu de la vulnérabilité

• Une vulnérabilité d’élévation de privilèges existe dans les versions d’OpenClaw antérieures à 2026.3.28
  • Sur le chemin de la commande /pair approve, le scope de l’appelant n’est pas transmis, ce qui empêche une vérification correcte de l’approbation
  • Un utilisateur disposant uniquement du droit de pairage peut, même sans privilèges administrateur, approuver des demandes d’appareil incluant un accès administrateur
  • Les emplacements de code vulnérables ont été identifiés dans extensions/device-pair/index.ts et src/infra/device-pairing.ts

Impact et sévérité

• Score de 8,6 selon CVSS v4.0 (HIGH)

  • Vecteur : AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

• Score de 8,1 selon CVSS v3.1 (HIGH)

  • Vecteur : AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
  • Classé comme CWE-863 (Incorrect Authorization)
  • En raison d’une vérification incorrecte des autorisations, des utilisateurs non administrateurs peuvent effectuer des opérations de niveau administrateur

Logiciels affectés

• Parmi les versions Node.js d’OpenClaw, toutes les versions antérieures à 2026.3.28 sont vulnérables
  • Identifiant CPE : cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
  • Le problème est corrigé dans les versions ultérieures

Correctif et mesures recommandées

• Commit du correctif : e403decb6e20091b5402780a7ccd2085f98aa3cd
• Avis de sécurité : GHSA-hc5h-pmr3-3497
• Analyse complémentaire : VulnCheck Advisory
• Mise à jour requise vers la version 2026.3.28 ou ultérieure

Historique des modifications

• 2026-03-31 : enregistrement du nouveau CVE et ajout des informations CVSS par VulnCheck
• 2026-04-01 : analyse initiale et ajout de la configuration CPE par le NIST
• Principales modifications
  • Correction du vecteur CVSS v3.1
  • Ajout de CWE-863
  • Ajout des liens vers le correctif GitHub et l’avis de sécurité

Source et informations de gestion

• ID CVE : CVE-2026-33579
• Organisme de publication : NIST National Vulnerability Database (NVD)
• Source de l’enregistrement : VulnCheck
• Date de publication initiale : 31 mars 2026
• Date de dernière modification : 1 avril 2026