OpenClaw-Sicherheitslücke zur Rechteausweitung (CVE-2026-33579)

 (nvd.nist.gov)
3 Punkte von GN⁺ 25 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • In OpenClaw-Versionen vor 2026.3.28 wurde eine Sicherheitslücke zur Rechteausweitung entdeckt, durch die Nicht-Administratoren Anfragen auf Administratorrechte genehmigen können
  • Beim Befehl /pair approve führt ein fehlender übergebener Scope dazu, dass die Genehmigungsprüfung nicht korrekt ausgeführt wird, wodurch ein Problem mit fehlerhafter Autorisierungsprüfung (CWE-863) entsteht
  • Die Schwachstelle wird mit 8,6 Punkten nach CVSS v4.0 und 8,1 Punkten nach v3.1 jeweils als hohe Schwere (HIGH) eingestuft
  • Der verwundbare Code befindet sich in extensions/device-pair/index.ts und src/infra/device-pairing.ts und wurde in Version 2026.3.28 behoben
  • Benutzer und Administratoren sollten auf die gepatchte Version aktualisieren und die GitHub-Sicherheitsempfehlung (GHSA-hc5h-pmr3-3497) beachten

Überblick über die Schwachstelle

  • In OpenClaw-Versionen vor 2026.3.28 besteht eine Sicherheitslücke zur Rechteausweitung
    • Im Befehlsablauf von /pair approve wird der Scope des Aufrufers nicht übergeben, sodass die Genehmigungsprüfung nicht korrekt erfolgt
    • Benutzer, die nur Pairing-Berechtigungen besitzen, können auch ohne Administratorrechte Geräteanfragen genehmigen, die Administratorzugriff enthalten
    • Die verwundbaren Code-Stellen wurden in extensions/device-pair/index.ts und src/infra/device-pairing.ts identifiziert

Auswirkungen und Schweregrad

  • 8,6 Punkte nach CVSS v4.0 (HIGH)

    • Vektor: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

  • 8,1 Punkte nach CVSS v3.1 (HIGH)

    • Vektor: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Eingestuft als CWE-863 (Incorrect Authorization)
    • Aufgrund fehlerhafter Autorisierungsprüfung können Nicht-Administratoren Aktionen auf Administratorniveau ausführen

Betroffene Software

  • OpenClaw Node.js-Versionen vor 2026.3.28 sind verwundbar
    • CPE-Kennung: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
    • In späteren Versionen ist das Problem behoben

Behebung und empfohlene Maßnahmen

Änderungsverlauf

  • 2026-03-31: VulnCheck registriert neue CVE und ergänzt CVSS-Informationen
  • 2026-04-01: NIST fügt erste Analyse und CPE-Konfiguration hinzu
  • Wichtige Änderungen
    • CVSS-v3.1-Vektor korrigiert
    • CWE-863 hinzugefügt
    • Links zu GitHub-Patch und Empfehlung ergänzt

Quellen- und Verwaltungsinformationen

  • CVE-ID: CVE-2026-33579
  • Herausgebende Stelle: NIST National Vulnerability Database (NVD)
  • Meldende Quelle: VulnCheck
  • Erstveröffentlichung: 31. März 2026
  • Letzte Änderung: 1. April 2026

Verwandte Beiträge

1 Kommentare

 
GN⁺ 25 일 전
Hacker-News-Kommentare

  • Ich bin der Entwickler von OpenClaw
    Bei diesem Problem handelte es sich um einen Privilege-Escalation-Bug, aber es war nicht auf dem Niveau von „mit irgendeiner Telegram-/Discord-Nachricht alle Instanzen übernehmen“
    Die Ursache war ein unvollständiger Fix: Der Plugin-Befehlsweg /pair approve rief die Freigabefunktion ohne callerScopes auf, wodurch ein Bypass der Scope-Obergrenze möglich war
    Das heißt, ein Client mit bereits vorhandenem Gateway-Zugriff konnte mit dem Befehl /pair approve latest weitergehende Berechtigungen (z. B. operator.admin) freigeben
    Das war kein spezielles Problem von Telegram oder einem bestimmten Messaging-Anbieter, sondern eine Schwachstelle in der gemeinsamen Logik des Plugin-Command-Handlers
    Im Fall von Telegram verhindert die Standard-DM-Richtlinie Kontakte von außen, daher war „mit einer einzigen Nachricht Administratorrechte erlangen“ nicht möglich
    Solange man es als persönlichen Assistenten nutzt, ist das praktische Risiko sehr gering; aktuell härte ich die Codebasis gemeinsam mit Engineers von Nvidia, ByteDance, Tencent und OpenAI ab

    • Ich würde gern mehr Erläuterungen zu den Zahlen des OP hören
      Ich möchte verifizieren, ob die Aussage stimmt, dass „mehr als 135k OpenClaw-Instanzen öffentlich erreichbar sind und 63 % davon ohne Authentifizierung laufen, sodass jeder Pairing-Anfragen senden kann“
      Falls das stimmt, ergibt das ein völlig anderes Bild als die vom Autor beschriebene Risikolage
    • Ich frage mich, was konkret mit „wir arbeiten mit Nvidia, ByteDance, Tencent und OpenAI zusammen“ gemeint ist
      Mich würde interessieren, ob vertragliche Beziehungen bestehen oder ob schlicht Mitarbeitende dieser Unternehmen zu Open Source beigetragen haben
    • „Nvidia, ByteDance, Tencent, OpenAI? Wow!“
      Er zeigt sich überrascht, dass solche Großunternehmen beteiligt sind
    • Mit „Ist Coding nicht schon ein gelöstes Problem?“ kommt eine scherzhafte Reaktion
      Dazu der KI-Sarkasmus, man müsse Claude Code doch einfach mit „mach die Sicherheit härter“ prompten

  • Es wird der Link zu days-since-openclaw-cve.com geteilt
    Dort heißt es, seit dem Release von OpenClaw würden im Schnitt 1,8 CVEs pro Tag gemeldet

    • Diese Zahl wirkt wirklich furchtbar
      Natürlich könnten bei einem stark beachteten Projekt wie OpenClaw mehr Schwachstellen entdeckt werden, aber „1,8 pro Tag“ ist intuitiv einfach viel zu viel
      Er stellt die Frage, ob vernünftige Menschen diese Software dann nicht besser meiden sollten

  • Es wird ein Archivlink zu einem gelöschten Reddit-Post geteilt

    • Vermutlich wurde er als KI-Spam entfernt
      Es heißt, auch die anderen Beiträge des Autors seien sämtlich Werbung für KI-Projekte gewesen
    • Jemand erwähnt: „Ich werde den Link oben in den Text aufnehmen“

  • Ich nutze OpenClaw nicht, aber ich führe Claude Code und Codex unter einem eingeschränkten macOS-Benutzerkonto aus
    Über das Skript become-agent [cmd ...] starte ich sie per sudo in einem limitierten Account, damit sie weder auf meine Umgebungsvariablen noch auf meine Verzeichnisse zugreifen können
    Das ist weniger komplex als ein vollständiges sandbox-exec und trotzdem sicher
    Unix-Systeme sind von Haus aus stark in genau dieser Art von Mehrbenutzer-Isolation

    • Ich halte Sandboxing auf Kernel-Ebene für wichtig
      Ich nutze ein Tool namens greywall, das Dateisystem und Netzwerk auf Syscall-Ebene isoliert (basierend auf Landlock + Seccomp + eBPF)
      Allerdings stimme ich dem Punkt nicht zu, dass „Unix nicht für die Ausführung solcher Agenten entworfen wurde“
    • Mit Apples Open-Source-Container-Tools kann man ohne Root-Rechte in unter 100 ms eine Linux-VM starten
      Mit dem Apple Virtualization Framework lassen sich auch macOS-VMs mit separater Apple-ID ausführen

  • Es überrascht mich, dass die Leute immer noch OpenClaw benutzen
    Ich hätte gedacht, alle wären längst zu Nanoclaw oder Nemoclaw gewechselt; ich frage mich, ob das einfach Trägheit ist

    • Ich verwende Hermes
      Jeder Agent sollte innerhalb einer Sandbox laufen
      Hermes-GitHub-Link
    • NemoClaw ist nur ein Security-Wrapper für OpenClaw, kein Ersatz
    • Sehr direkt sagt jemand: „OpenClaw ist nicht besonders gut, aber die meisten Leute wissen das nicht“

  • Ich halte das für ein absehbares Ergebnis
    Dass Menschen mit wenig Sicherheitswissen ihre Instanzen offen ins Netz stellen, ist töricht, aber gleichzeitig ist es großartig, dass heute jeder spannende IT-Experimente machen kann
    Am Ende ist es eine Frage des Gleichgewichts zwischen Freiheit und Risiko — wie beim Selberschrauben am Auto: macht Spaß, kann aber bei Fehlern böse enden
    Sicherheit, Privatsphäre und Klima entwickeln sich derzeit alle in die falsche Richtung, aber Menschen stellen ihren Wunsch, „coole Dinge zu bauen“, trotzdem an erste Stelle

    • Das Problem ist, dass viele diese Risiken nicht einmal erkennen
    • Wie beim „Autobeispiel“ können Fehlkonfigurationen auch anderen schaden
      Ein Nutzer ohne Sicherheitswissen kann das gesamte Internet einem Risiko aussetzen
      Letztlich trägt die ganze Gesellschaft die Kosten verantwortungsloser Experimente

  • Die Reaktionen im /r/sysadmin-Thread wirken auf ihn exakt wie Gespräche mit den typischen Systemadministratoren, die er aus eigener Erfahrung kennt

  • Der Titel wirkt etwas übertrieben clickbaity
    Tatsächlich ist OpenClaw nur dann gefährdet, wenn es auf einem öffentlich erreichbaren Server läuft
    Wenn von 500.000 insgesamt 135.000 öffentliche Instanzen sind, ist das prozentual nicht so gewaltig

    • „Ein Fünftel ist beim Thema Sicherheit schon eher ‚ziemlich viel‘“, sagt jemand
    • Ein anderer ergänzt, dass man ab „mehr als 25 %“ durchaus von „wahrscheinlich ja“ sprechen könne
    • Die Zahl von „135k Instanzen“ hält jemand für wenig vertrauenswürdig
    • Mit dem Witz „35 % aller Statistiken sind erfunden“ wird Skepsis ausgedrückt
    • Wenn aber tatsächlich 65 % ohne Authentifizierung laufen, ist das dennoch riskant
      Selbst wenn der Titel zugespitzt ist, hält man den warnenden Sicherheitseffekt für sinnvoll

  • Es heißt, das gelte „nur dann, wenn eine OpenClaw-Instanz dem Internet offensteht“

    • Dem wird entgegengehalten, dass die Standardeinstellung bis vor Kurzem an 0.0.0.0 gebunden war
      Wer glaube, der Router werde das schon abfangen, solle OpenClaw besser nicht verwenden
      Dazu werden ein relevantes Issue und ein Commit verlinkt

  • Es wird behauptet: „Standardmäßig ist das keine Konfiguration, bei der Administratorrechte dem Internet offengelegt werden“