Vulnerabilidad de escalación de privilegios en OpenClaw (CVE-2026-33579)

 (nvd.nist.gov)
3 puntos por GN⁺ 25 일 전 | 1 comentarios | Compartir por WhatsApp
  • Se descubrió una vulnerabilidad de escalación de privilegios que permite a usuarios no administradores aprobar solicitudes de privilegios de administrador en versiones anteriores a OpenClaw 2026.3.28
  • Debido a la omisión al pasar el scope en el comando /pair approve, la validación de aprobación no se realiza correctamente, lo que provoca un problema de autorización incorrecta (CWE-863)
  • Esta vulnerabilidad fue evaluada como de alta severidad (HIGH) con 8.6 puntos según CVSS v4.0 y 8.1 puntos según v3.1
  • El código vulnerable se encuentra en extensions/device-pair/index.ts y src/infra/device-pairing.ts, y fue corregido en la versión 2026.3.28
  • Los usuarios y administradores deben actualizar a la versión parcheada y consultar la alerta de seguridad de GitHub (GHSA-hc5h-pmr3-3497)

Resumen de la vulnerabilidad

  • Existe una vulnerabilidad de escalación de privilegios en versiones anteriores a OpenClaw 2026.3.28
    • En la ruta del comando /pair approve, no se pasa el scope del llamador, por lo que la validación de aprobación no se realiza correctamente
    • Un usuario con solo permisos de emparejamiento puede aprobar solicitudes de dispositivos que incluyen acceso de administrador incluso sin privilegios de administrador
    • Se confirmó que el código vulnerable está en extensions/device-pair/index.ts y src/infra/device-pairing.ts

Impacto y severidad

  • 8.6 puntos según CVSS v4.0 (HIGH)

    • Vector: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

  • 8.1 puntos según CVSS v3.1 (HIGH)

    • Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Clasificada como CWE-863 (Incorrect Authorization)
    • Debido a una validación incorrecta de permisos, un usuario no administrador puede realizar tareas de nivel administrador

Software afectado

  • Son vulnerables las versiones de OpenClaw para Node.js anteriores a 2026.3.28
    • Identificador CPE: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
    • El problema ya fue corregido en versiones posteriores

Corrección y acciones recomendadas

Historial de cambios

  • 2026-03-31: VulnCheck registró un nuevo CVE y agregó información de CVSS
  • 2026-04-01: NIST añadió el análisis inicial y la configuración CPE
  • Cambios principales
    • Corrección del vector CVSS v3.1
    • Adición de CWE-863
    • Registro de enlaces al parche y la alerta de GitHub

Fuente e información administrativa

  • CVE ID: CVE-2026-33579
  • Entidad emisora: NIST National Vulnerability Database (NVD)
  • Fuente de registro: VulnCheck
  • Fecha de publicación inicial: 31 de marzo de 2026
  • Fecha de última modificación: 1 de abril de 2026

Lecturas relacionadas

1 comentarios

 
GN⁺ 25 일 전
Comentarios en Hacker News

  • Soy el creador de OpenClaw
    Este problema era un bug de escalación de privilegios, pero no estaba al nivel de “cualquier mensaje de Telegram/Discord puede tomar control de todas las instancias”
    La causa fue una corrección incompleta, y la ruta del comando de plugin /pair approve llamaba a la función de aprobación sin callerScopes, lo que permitía eludir el scope-ceiling
    Es decir, un cliente que ya tenía acceso al gateway podía aprobar permisos más amplios (por ejemplo, operator.admin) con el comando /pair approve latest
    No era un problema específico de Telegram ni del proveedor de mensajería, sino una vulnerabilidad en la lógica común del manejador de comandos de plugins
    En el caso de Telegram, la política predeterminada de DM bloquea a desconocidos, así que no era posible “obtener privilegios de administrador con un solo mensaje”
    Si se usa como asistente personal, el riesgo real es muy bajo, y actualmente estamos reforzando el codebase junto con ingenieros de Nvidia, ByteDance, Tencent y OpenAI

    • Me pregunto si podrías explicar más sobre las estadísticas del OP
      Quiero confirmar si es cierto eso de que “más de 135k instancias de OpenClaw están expuestas públicamente, y 63% de ellas corren sin autenticación, por lo que cualquiera puede enviar solicitudes de emparejamiento”
      Si eso es verdad, el panorama sería completamente distinto al nivel de riesgo que describe el autor
    • Me pregunto qué significa exactamente eso de “estamos trabajando con Nvidia, ByteDance, Tencent y OpenAI”
      Quisiera saber si tienes contratos con ellos o si simplemente empleados de esas empresas han hecho contribuciones open source
    • “¿Nvidia, ByteDance, Tencent, OpenAI? ¡Wow!”
      Sorprende que empresas tan grandes estén involucradas
    • Responde en tono de broma con “¿acaso programar no era ya un problema resuelto?”
      Y remata con una sátira sobre IA del tipo “¿no basta con ponerle a Claude Code el prompt ‘refuerza la seguridad’?”

  • Comparte el enlace de days-since-openclaw-cve.com
    Dice que desde el lanzamiento de OpenClaw se han reportado en promedio 1.8 CVE por día

    • Ese número realmente me parece espantoso
      Claro, en un proyecto tan visible como OpenClaw quizá se descubran más vulnerabilidades, pero “1.8 por día” sigue sonando absurdamente alto
      Plantea si una persona razonable no debería simplemente evitar ese software

  • Comparte un enlace archivado de una publicación de Reddit cuyo original fue eliminado

    • Al parecer la borraron por considerarla spam de IA
      Dice que las otras publicaciones del autor también eran publicidad de proyectos de IA
    • Menciona que “agregará ese enlace al texto principal”

  • No uso OpenClaw, pero ejecuto Claude Code y Codex en una cuenta de usuario restringida de macOS
    Mediante el script become-agent [cmd ...] los ejecuto con sudo desde una cuenta limitada para que no puedan acceder a mis variables de entorno ni a mis directorios
    Así es menos complejo que un sandbox-exec completo y aun así resulta seguro
    Los sistemas Unix originalmente son fuertes en este tipo de aislamiento multiusuario

    • Yo sí creo que el sandboxing a nivel de kernel es importante
      Uso una herramienta llamada greywall para aislar sistema de archivos y red a nivel de syscall (basada en Landlock + Seccomp + eBPF)
      Aun así, no estoy de acuerdo con la idea de que “Unix no fue diseñado para ejecutar este tipo de agentes”
    • Si usas la herramienta open source de contenedores de Apple, puedes levantar una VM Linux en menos de 100 ms sin privilegios de root
      Con Apple Virtualization Framework también es posible ejecutar una VM de macOS con un Apple ID separado

  • Me sorprende que la gente todavía use OpenClaw
    Pensé que todos ya se habían pasado a Nanoclaw o Nemoclaw; me pregunto si será simplemente por inercia

    • Yo uso Hermes
      Cualquier agente debe ejecutarse dentro de un sandbox
      Enlace al GitHub de Hermes
    • NemoClaw es solo un wrapper de seguridad para OpenClaw, no un reemplazo
    • Dice sin rodeos que “OpenClaw no es muy bueno, pero la mayoría de la gente no lo sabe”

  • Cree que esto es un resultado predecible
    Que personas con pocos conocimientos de seguridad expongan instancias es una tontería, pero al mismo tiempo es genial que cualquiera pueda hacer experimentos interesantes de TI
    Al final, es una cuestión de equilibrio entre libertad y riesgo: como reparar tu propio auto, divertido pero potencialmente desastroso si algo sale mal
    Hoy en día seguridad, privacidad y cambio climático van a la baja, pero los humanos siguen priorizando el deseo de “construir cosas geniales”

    • El problema es que mucha gente ni siquiera reconoce estos riesgos
    • Como en el “ejemplo del auto”, una mala configuración también puede perjudicar a terceros
      Un usuario sin conocimientos de seguridad puede poner en riesgo a todo internet
      Al final, toda la sociedad paga el costo de los experimentos irresponsables

  • Siente que la reacción en el hilo de /r/sysadmin es exactamente igual a las conversaciones de administradores de sistemas típicos que ha visto toda su vida

  • El título parece algo clickbait y exagerado
    En realidad, solo es peligroso cuando OpenClaw corre en un servidor expuesto públicamente
    Si de 500 mil, 135 mil son instancias públicas, proporcionalmente no parece tanto

    • “Si es una quinta parte, cuando hablamos de seguridad eso ya es ‘bastante’”
    • Agrega que “si pasa de 25%, ya alcanza para decir ‘probablemente sí’”
    • Considera poco confiable la cifra de “135k instancias”
    • Expresa sus dudas con la broma de que “el 35% de las estadísticas son inventadas”
    • Aun así, si 65% corre sin autenticación, sí es riesgoso
      Aunque el título sea exagerado, piensa que si sirve para aumentar la conciencia de seguridad, entonces tiene valor

  • Dice que “solo es peligroso cuando una instancia de OpenClaw está expuesta a internet”

    • Pero señala que hasta hace poco la configuración predeterminada enlazaba a 0.0.0.0
      Si un usuario cree equivocadamente que su router lo va a proteger, entonces no debería usar OpenClaw
      Comparte enlaces al issue y al commit relacionados

  • Afirma que “por defecto no es una configuración donde privilegios de administrador queden expuestos a internet”