OpenClaw विशेषाधिकार वृद्धि भेद्यता (CVE-2026-33579)

 (nvd.nist.gov)
3 पॉइंट द्वारा GN⁺ 26 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • OpenClaw के 2026.3.28 से पहले के संस्करणों में ऐसी विशेषाधिकार वृद्धि भेद्यता पाई गई है, जिसमें गैर-प्रशासक उपयोगकर्ता प्रशासक-स्तर के अनुरोधों को मंजूरी दे सकते हैं
  • /pair approve कमांड में scope पास न किए जाने के कारण मंजूरी सत्यापन सही तरह से नहीं हो पाता, जिससे गलत प्राधिकरण सत्यापन (CWE-863) की समस्या उत्पन्न होती है
  • इस भेद्यता को CVSS v4.0 के अनुसार 8.6 अंक और v3.1 के अनुसार 8.1 अंक दिए गए हैं, और दोनों में इसे उच्च गंभीरता (HIGH) माना गया है
  • प्रभावित कोड extensions/device-pair/index.ts और src/infra/device-pairing.ts में मौजूद है, और इसे 2026.3.28 संस्करण में ठीक किया गया
  • उपयोगकर्ताओं और प्रशासकों को patched version पर अपडेट करना चाहिए और GitHub सुरक्षा सलाह (GHSA-hc5h-pmr3-3497) देखनी चाहिए

भेद्यता का अवलोकन

  • OpenClaw 2026.3.28 से पहले के संस्करणों में विशेषाधिकार वृद्धि भेद्यता मौजूद है
    • /pair approve कमांड पथ में caller का scope पास नहीं किया जाता, जिससे मंजूरी सत्यापन सही तरह से नहीं हो पाता
    • केवल pairing permission वाले उपयोगकर्ता भी, प्रशासक अधिकारों के बिना, प्रशासक access permission शामिल करने वाले device request को मंजूर कर सकते हैं
    • प्रभावित कोड स्थान extensions/device-pair/index.ts और src/infra/device-pairing.ts में पुष्टि किए गए हैं

प्रभाव और गंभीरता

  • CVSS v4.0 के अनुसार 8.6 अंक (HIGH)

    • वेक्टर: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

  • CVSS v3.1 के अनुसार 8.1 अंक (HIGH)

    • वेक्टर: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • इसे CWE-863 (Incorrect Authorization) के रूप में वर्गीकृत किया गया है
    • गलत प्राधिकरण सत्यापन के कारण गैर-प्रशासक उपयोगकर्ता प्रशासक-स्तर के कार्य कर सकते हैं

प्रभावित सॉफ़्टवेयर

  • OpenClaw Node.js संस्करणों में 2026.3.28 से पहले के संस्करण प्रभावित हैं
    • CPE पहचानकर्ता: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
    • बाद के संस्करणों में समस्या ठीक कर दी गई है

सुधार और अनुशंसित कदम

परिवर्तन इतिहास

  • 2026-03-31: VulnCheck ने नया CVE पंजीकृत किया और CVSS जानकारी जोड़ी
  • 2026-04-01: NIST ने प्रारंभिक विश्लेषण और CPE configuration जोड़ी
  • प्रमुख परिवर्तन
    • CVSS v3.1 वेक्टर में संशोधन
    • CWE-863 जोड़ा गया
    • GitHub पैच और सलाह लिंक जोड़े गए

स्रोत और प्रबंधन जानकारी

  • CVE ID: CVE-2026-33579
  • जारी करने वाली संस्था: NIST National Vulnerability Database (NVD)
  • पंजीकरण स्रोत: VulnCheck
  • प्रथम प्रकाशन तिथि: 31 मार्च 2026
  • अंतिम संशोधन तिथि: 1 अप्रैल 2026

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.