つみかさね

CVE-2026-33579

Critical(9.9)

CVE-2026-33579 — OpenClaw デバイスペアリング承認の権限昇格

公開日: 2026-04-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawopenclaw< 2026.3.28

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1OpenClawのバージョンを確認する
  2. 22026.3.28以降へアップデートする
  3. 3デバイスペアリングの承認履歴を確認する

影響対象

OpenClaw利用者

補足

  • -CVSS 9.9の最高深刻度
CVEOpenClaw権限昇格認可不備

概要

OpenClaw の 2026.3.28 より 前 の バージョン に 権限昇格 の 脆弱性 が 存在 します。/pair approve コマンドパス で 呼び出し元 の スコープ が コア 承認チェック に 転送 されない ため、ペアリング 権限 のみ を 持つ ユーザー が admin 権限 を 含む 広範 な スコープ を 要求 する 保留中 の デバイスリクエスト を 承認 できます。CVSS 9.9 は 本日 最高 の スコア です。

CVSS ベクトル

項目
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル
ユーザー関与不要
CWECWE-863(認可不備)

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawopenclaw< 2026.3.28

対象 ファイル: extensions/device-pair/index.tssrc/infra/device-pairing.ts

修正バージョンと回避策

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-34426OpenClaw 環境変数正規化の承認バイパスCVSS 7.6

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33579
GHSA:https://github.com/openclaw/openclaw/security/advisories/GHSA-hc5h-pmr3-3497
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。