CVE-2026-35639
🟡 Monitoruj
W OpenClaw występuje luka eskalacji uprawnień, umożliwiająca zdalne wykonanie kodu.
CVSS
8.8
EPSS
0.2%
Exploit
none
Vendor
Opis źródłowy (NVD)
OpenClaw before 2026.3.22 contains a privilege escalation vulnerability in the device.pair.approve method that allows an operator.pairing approver to approve pending device requests with broader operator scopes than the approver actually holds. Attackers can exploit insufficient scope validation to escalate privileges to operator.admin and achieve remote code execution on the Node infrastructure.
privilege-escalation rce
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.2% |
| Opublikowano (NVD) | 2026-04-09 22:16:33 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-13 15:02:27 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171dac87 (disclosure@vulncheck.com)
- https://github.com/openclaw/openclaw/commit/fc2d29ea926f47c428c556e92ec981441228d2a4 (disclosure@vulncheck.com)
- https://github.com/openclaw/openclaw/security/advisories/GHSA-hf68-49fm-59cq (disclosure@vulncheck.com)
- https://www.vulncheck.com/advisories/openclaw-privilege-escalation-via-device-pair-approve-scope-validation (disclosure@vulncheck.com)