OpenClaw 권한 상승 취약점 (CVE-2026-33579)
OpenClaw 2026.3.28 이전 버전에서
/pair approve명령의 scope 전달 누락으로 인해 비관리자가 관리자 권한을 획득할 수 있는 높은 심각도(HIGH) 취약점이 발견됨
핵심 요약
- OpenClaw 2026.3.28 이전 버전에서 비관리자 사용자가 관리자 권한 요청을 승인할 수 있는 권한 상승 취약점 발견
/pair approve명령에서 scope 전달 누락으로 인해 승인 검증이 제대로 수행되지 않아 잘못된 권한 검증(CWE-863) 문제 발생- CVSS v4.0 기준 8.6점, v3.1 기준 8.1점으로 모두 높은 심각도(HIGH)로 평가됨
- 2026.3.28 버전에서 수정 완료, 패치 및 업데이트 필요
상세 내용
취약점 개요
- OpenClaw 2026.3.28 이전 버전에서 권한 상승 취약점이 존재함
/pair approve명령 경로에서 호출자의 scope 전달이 누락되어 승인 검증이 제대로 수행되지 않음- 페어링 권한만 가진 사용자가 관리자 권한 없이도 관리자 접근 권한을 포함한 장치 요청을 승인할 수 있음
- 취약한 코드 위치는
extensions/device-pair/index.ts및src/infra/device-pairing.ts로 확인됨
영향 및 심각도
- CVSS v4.0 기준 8.6점 (HIGH)
- 벡터:
AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
- 벡터:
- CVSS v3.1 기준 8.1점 (HIGH)
- 벡터:
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N - **CWE-863 (Incorrect Authorization)**으로 분류됨
- 잘못된 권한 검증으로 인해 비관리자 사용자가 관리자 수준 작업을 수행할 수 있는 문제
- 벡터:
영향받는 소프트웨어
- OpenClaw Node.js 버전 중 2026.3.28 이전 버전이 취약함
- CPE 식별자:
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* - 이후 버전에서 문제 수정 완료
- CPE 식별자:
수정 및 권장 조치
- 패치 커밋: e403decb6e20091b5402780a7ccd2085f98aa3cd
- 보안 권고: GHSA-hc5h-pmr3-3497
- 추가 분석: VulnCheck Advisory
- 2026.3.28 이상 버전으로 업데이트 필요
변경 이력
- 2026-03-31: VulnCheck에서 신규 CVE 등록 및 CVSS 정보 추가
- 2026-04-01: NIST에서 초기 분석 및 CPE 구성 추가
- 주요 변경 내역: CVSS v3.1 벡터 수정, CWE-863 추가, GitHub 패치 및 권고 링크 등록
출처 및 관리 정보
- CVE ID: CVE-2026-33579
- 발행 기관: NIST National Vulnerability Database (NVD)
- 등록 출처: VulnCheck
- 최초 게시일: 2026년 3월 31일
- 최종 수정일: 2026년 4월 1일
Hacker News 의견
- OpenClaw 제작자에 따르면, 이번 문제는 권한 상승 버그였지만 “아무 텔레그램/디스코드 메시지로 모든 인스턴스를 장악할 수 있다” 수준은 아니었음
- 원인은 불완전한 수정이었고,
/pair approve플러그인 명령 경로가callerScopes없이 승인 함수를 호출하면서 scope-ceiling 우회가 가능했음 - 이미 게이트웨이 접근 권한이 있는 클라이언트가
/pair approve latest명령으로 더 넓은 권한(예:operator.admin)을 승인할 수 있었음 - 이건 텔레그램이나 메시지 제공자 특유의 문제가 아니고, 플러그인 명령 처리기 공통 로직의 취약점이었음
- 텔레그램의 경우 기본 DM 정책이 외부인을 차단하므로 “메시지 한 번으로 관리자 권한 획득”은 불가능했음
- 개인 비서용으로 사용하는 한 실질적 위험은 매우 낮음