CVE-2026-32987
🟠 Łataj w tym tygodniu
Replaying kodów konfiguracji w OpenClaw umożliwia eskalację uprawnień do operator.admin.
CVSS
9.8
EPSS
0.0%
Exploit
none
Vendor
openclaw
Opis źródłowy (NVD)
OpenClaw before 2026.3.13 allows bootstrap setup codes to be replayed during device pairing verification in src/infra/device-bootstrap.ts. Attackers can verify a valid bootstrap code multiple times before approval to escalate pending pairing scopes, including privilege escalation to operator.admin.
privilege-escalation
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-03-29 13:17:02 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-31 17:53:28 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/1803d16d5cec970c54b0e1ac46b31b1cbade335c (disclosure@vulncheck.com) [Patch]
- https://github.com/openclaw/openclaw/security/advisories/GHSA-63f5-hhc7-cx6p (disclosure@vulncheck.com) [Vendor Advisory]
- https://www.vulncheck.com/advisories/openclaw-bootstrap-setup-code-replay-via-device-pairing (disclosure@vulncheck.com) [Third Party Advisory]