Vulnerabilidade de escalonamento de privilégios no OpenClaw (CVE-2026-33579)

 (nvd.nist.gov)
3 pontos por GN⁺ 25 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Foi descoberta no OpenClaw anterior à versão 2026.3.28 uma vulnerabilidade de escalonamento de privilégios que permite a usuários não administradores aprovar solicitações de privilégios de administrador
  • No comando /pair approve, a ausência do repasse de scope faz com que a verificação de aprovação não seja executada corretamente, causando um problema de autorização incorreta (CWE-863)
  • Essa vulnerabilidade foi avaliada como alta severidade (HIGH) tanto com 8.6 na CVSS v4.0 quanto com 8.1 na v3.1
  • O código vulnerável está em extensions/device-pair/index.ts e src/infra/device-pairing.ts, e foi corrigido na versão 2026.3.28
  • Usuários e administradores devem atualizar para a versão com patch e consultar o aviso de segurança do GitHub (GHSA-hc5h-pmr3-3497)

Visão geral da vulnerabilidade

  • Existe uma vulnerabilidade de escalonamento de privilégios no OpenClaw anterior à versão 2026.3.28
    • No fluxo do comando /pair approve, o repasse do scope do chamador é omitido, impedindo que a verificação de aprovação seja realizada corretamente
    • Um usuário com apenas permissão de pareamento pode, mesmo sem privilégios de administrador, aprovar solicitações de dispositivo que incluam acesso administrativo
    • Os locais do código vulnerável foram identificados em extensions/device-pair/index.ts e src/infra/device-pairing.ts

Impacto e severidade

  • 8.6 na CVSS v4.0 (HIGH)

    • Vetor: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

  • 8.1 na CVSS v3.1 (HIGH)

    • Vetor: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Classificada como CWE-863 (Incorrect Authorization)
    • Um problema de verificação incorreta de autorização que permite a usuários não administradores executar ações de nível administrativo

Software afetado

  • Entre as versões Node.js do OpenClaw, as anteriores à 2026.3.28 são vulneráveis
    • Identificador CPE: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
    • O problema já foi corrigido nas versões posteriores

Correção e ações recomendadas

Histórico de alterações

  • 2026-03-31: a VulnCheck registrou o novo CVE e adicionou informações de CVSS
  • 2026-04-01: o NIST adicionou a análise inicial e a configuração de CPE
  • Principais alterações
    • Correção do vetor CVSS v3.1
    • Adição do CWE-863
    • Registro dos links do patch e do aviso do GitHub

Fonte e informações de gestão

  • CVE ID: CVE-2026-33579
  • Órgão publicador: NIST National Vulnerability Database (NVD)
  • Fonte do registro: VulnCheck
  • Data de publicação inicial: 31 de março de 2026
  • Data da última modificação: 1 de abril de 2026

Leituras relacionadas

1 comentários

 
GN⁺ 25 일 전
Comentários do Hacker News

  • Sou o criador do OpenClaw
    Desta vez foi um bug de elevação de privilégios, mas não chegou ao nível de “qualquer mensagem no Telegram/Discord consegue tomar controle de todas as instâncias”
    A causa foi uma correção incompleta, e o caminho de comando do plugin /pair approve chamava a função de aprovação sem callerScopes, o que permitia burlar o scope-ceiling
    Ou seja, um cliente que já tivesse acesso ao gateway podia aprovar permissões mais amplas com o comando /pair approve latest (por exemplo, operator.admin)
    Isso não era um problema específico do Telegram nem do provedor de mensagens, mas uma vulnerabilidade da lógica comum do manipulador de comandos de plugins
    No caso do Telegram, a política padrão de DMs bloqueia estranhos, então não era possível “obter privilégio de administrador com uma única mensagem”
    Para uso como assistente pessoal, o risco real é muito baixo, e neste momento estou reforçando a base de código junto com engenheiros da Nvidia, ByteDance, Tencent e OpenAI

    • Gostaria de mais explicações sobre as estatísticas do OP
      Quero confirmar se é verdade que “mais de 135 mil instâncias do OpenClaw estão expostas publicamente, e 63% delas estão rodando sem autenticação, de modo que qualquer pessoa pode enviar uma solicitação de pareamento”
      Se isso for verdade, o cenário é completamente diferente do nível de risco descrito pelo autor
    • Queria entender concretamente o que significa “trabalhando com Nvidia, ByteDance, Tencent e OpenAI”
      Há contratos com essas empresas, ou apenas funcionários delas contribuíram para o open source?
    • “Nvidia, ByteDance, Tencent, OpenAI? Uau!”
      Surpresa por essas empresas gigantes estarem envolvidas
    • Reação em tom de piada: “programação já não era um problema resolvido?”
      Acrescenta uma sátira sobre IA do tipo “era só mandar um prompt para o Claude Code dizendo ‘reforce a segurança’”

  • Compartilha o link days-since-openclaw-cve.com
    Diz que, desde o lançamento do OpenClaw, estão sendo reportados em média 1,8 CVE por dia

    • Esse número parece realmente terrível
      Claro, um projeto em evidência como o OpenClaw pode acabar tendo mais vulnerabilidades descobertas, mas “1,8 por dia” é bom senso demais para ser ignorado
      Levanta a dúvida se qualquer pessoa razoável não deveria simplesmente evitar esse software

  • Compartilha o link para a cópia preservada de uma postagem no Reddit cujo original foi apagado

    • Provavelmente foi removida por ser considerada spam de IA
      Diz que os outros posts do autor também eram todos propaganda de projetos de IA
    • Menciona que “vai adicionar esse link ao texto do topo”

  • Não uso OpenClaw, mas executo Claude Code e Codex em uma conta de usuário limitada do macOS
    Uso o script become-agent [cmd ...] com sudo para rodar a partir dessa conta restrita, impedindo acesso às minhas variáveis de ambiente e diretórios
    Assim fica menos complexo do que um sandbox-exec completo e ainda é seguro
    Sistemas Unix já são naturalmente fortes nessa estrutura de isolamento multiusuário

    • Acho importante ter sandboxing em nível de kernel
      Uso uma ferramenta chamada greywall para isolar filesystem e rede no nível de syscall (baseada em Landlock + Seccomp + eBPF)
      Ainda assim, não concordo com a ideia de que “Unix não foi projetado para executar esse tipo de agente”
    • Usando a ferramenta open source de contêiner da Apple, dá para subir uma VM Linux em menos de 100 ms sem privilégios de root
      Com o Apple Virtualization Framework, também é possível rodar uma VM macOS com um Apple ID separado

  • Surpreende que as pessoas ainda usem OpenClaw
    Achei que todos já tivessem migrado para Nanoclaw ou Nemoclaw; fico pensando se é apenas inércia

    • Eu uso Hermes
      Qualquer agente deve ser executado dentro de um sandbox
      Link do Hermes no GitHub
    • NemoClaw é apenas um wrapper de segurança para o OpenClaw, não um substituto
    • Diz de forma direta que “OpenClaw não é grande coisa, mas a maioria das pessoas não sabe disso”

  • Isso parece um resultado previsível
    É tolice que pessoas sem conhecimento de segurança exponham instâncias, mas ao mesmo tempo é legal que qualquer um possa fazer experimentos interessantes de TI
    No fim, é uma questão de equilíbrio entre liberdade e risco — como mexer no próprio carro: é divertido, mas se der errado pode causar um grande acidente
    Hoje segurança, privacidade e mudança climática estão em queda, mas os humanos continuam priorizando o desejo de “construir coisas legais”

    • O problema é que muita gente nem sequer reconhece esses riscos
    • Como no “exemplo do carro”, uma configuração errada também pode prejudicar terceiros
      Um usuário sem conhecimento de segurança pode colocar a internet inteira em risco
      No fim, o custo de experimentos irresponsáveis acaba sendo pago pela sociedade como um todo

  • Sente que as reações na thread do /r/sysadmin são idênticas às conversas com administradores de sistemas típicos que já viu ao longo da vida

  • O título parece um pouco clickbait exagerado
    Na prática, o risco só existe quando o OpenClaw está rodando em um servidor exposto publicamente
    Se 135 mil de 500 mil forem instâncias públicas, proporcionalmente não é algo tão enorme

    • “Um quinto já deve ser considerado ‘bastante’ quando se fala de segurança”
    • Acrescenta que “se passar de 25%, já dá tranquilamente para dizer ‘provavelmente sim’”
    • Considera difícil confiar no número de “135 mil instâncias”
    • Expressa ceticismo com a piada de que “a estatística de 35% foi inventada”
    • Ainda assim, se 65% estiverem rodando sem autenticação, continua sendo perigoso
      Mesmo que o título seja exagerado, acha que ele tem valor se ajudar a aumentar a consciência de segurança

  • Diz que “só é perigoso quando a instância do OpenClaw está exposta à internet”

    • Mas aponta que, até recentemente, a configuração padrão fazia bind em 0.0.0.0
      Quem achou que o roteador iria protegê-lo não deveria estar usando OpenClaw
      Compartilha links da issue e do commit relacionados

  • Afirma que “por padrão, não é uma configuração em que privilégios de administrador ficam expostos à internet”