CRITICAL🇬🇧 English

CVE-2026-41386

OpenClaw: privilege escalation przez niepowiązane kody bootstrap podczas parowania

CVSS 9.1v4.0pub. 2026-04-28upd. 2026-05-01

OpenClaw przed wersją 2026.3.22 zawiera podatność umożliwiającą privilege escalation podczas pierwszego parowania urządzenia. Atakujący może uzyskać uprawnienia wykraczające poza przypisaną mu rolę i zakres, co stanowi poważne zagrożenie dla integralności systemu kontroli dostępu.

Pokaż oryginał (EN)

OpenClaw before 2026.3.22 contains a privilege escalation vulnerability where bootstrap setup codes are not bound to intended device roles and scopes during pairing. Attackers can exploit this during first-use device pairing to escalate privileges beyond their intended role and scope.

🤖 Analiza AI
Jak działa

Podczas procedury pierwszego parowania urządzenia (first-use pairing) kody konfiguracyjne bootstrap nie są wiązane z określonymi rolami urządzeń ani zakresami uprawnień. Brak tego powiązania (binding) oznacza, że atakujący mogący uczestniczyć w procesie parowania może posłużyć się kodami bootstrap w sposób niezamierzony przez producenta. W efekcie możliwe jest uzyskanie wyższych uprawnień niż te, które powinny być przyznane danej roli lub urządzeniu.

Skutki

Atakujący może eskalować swoje uprawnienia ponad zamierzony poziom roli i zakresu (privilege escalation), uzyskując nieautoryzowany dostęp do funkcji lub zasobów systemu OpenClaw zastrzeżonych dla uprzywilejowanych użytkowników lub ról.

Mitygacja

Należy zaktualizować OpenClaw do wersji 2026.3.22 lub nowszej, w której kody bootstrap są prawidłowo wiązane z rolami i zakresami urządzeń podczas parowania. Szczegóły patcha dostępne w referencjach producenta oraz w commitcie a600c72ed7d0045a27f58bf031d2b36ecb0141c9 w repozytorium GitHub.

Kogo dotyczy

OpenClaw we wszystkich wersjach przed 2026.3.22

Uwagi

Podatność sklasyfikowana jako CWE-648 (Incorrect Use of Privileged APIs). Wektor CVSS wskazuje na brak wymogu uwierzytelnienia (PR:N) oraz brak interakcji użytkownika (UI:N), jednak wymaga spełnienia określonych warunków ataku (AT:P) — okno exploitacji ograniczone jest do procesu pierwszego parowania urządzenia.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Openclaw

    APP
    Openclaw
    < 2026.3.22
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2026-43585CRITICAL9.2PL ✓ten sam produkt

OpenClaw: ominięcie uwierzytelniania przez nieodświeżane tokeny bearer po rotacji SecretRef

CVE-2026-43578CRITICAL9.1PL ✓ten sam produkt

OpenClaw: privilege escalation przez pominięcie zdarzeń async exec w heartbeat

CVE-2026-43575CRITICAL9.2PL ✓ten sam produkt

OpenClaw: Authentication Bypass w trasie pomocniczej sandbox noVNC

CVE-2026-43581CRITICAL9.0PL ✓ten sam produkt

OpenClaw: ekspozycja Chrome DevTools Protocol poza sandbox

CVE-2026-44109CRITICAL9.2PL ✓ten sam produkt

OpenClaw — Auth Bypass w walidacji Feishu webhook umożliwia RCE