Версии OpenClaw 2026.2.22 до 2026.2.25 содержат уязвимость повышения привилегий, позволяющую непарным идентификаторам устройств обходить требования к сопряжению операторов и самостоятельно назначать области операторов с повышенными правами, включаяoperator.admin. Злоумышленники с действующей аутентификацией общего шлюза могут предоставить самозаверяющее удостоверение неспаренного устройства для запроса и получения более высоких полномочий оператора до того, как будет предоставлено одобрение на сопряжение.
Показать оригинальное описание (EN)
OpenClaw versions 2026.2.22 prior to 2026.2.25 contain a privilege escalation vulnerability allowing unpaired device identities to bypass operator pairing requirements and self-assign elevated operator scopes including operator.admin. Attackers with valid shared gateway authentication can present a self-signed unpaired device identity to request and obtain higher operator scopes before pairing approval is granted.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Openclaw Openclaw
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
|
2026.2.22
|
2026.2.25
|