OpenClaw 권한 상승 취약점 (CVE-2026-33579)

• OpenClaw 2026.3.28 이전 버전에서 비관리자 사용자가 관리자 권한 요청을 승인할 수 있는 권한 상승 취약점이 발견됨
• /pair approve 명령에서 scope 전달 누락으로 인해 승인 검증이 제대로 수행되지 않아 잘못된 권한 검증(CWE-863) 문제가 발생함
• 이 취약점은 CVSS v4.0 기준 8.6점, v3.1 기준 8.1점으로 모두 높은 심각도(HIGH) 로 평가됨
• 취약한 코드는 extensions/device-pair/index.ts와 src/infra/device-pairing.ts에 존재하며, 2026.3.28 버전에서 수정됨
• 사용자와 관리자는 패치 버전으로 업데이트하고, GitHub 보안 권고(GHSA-hc5h-pmr3-3497) 를 참고해야 함

취약점 개요

• OpenClaw 2026.3.28 이전 버전에서 권한 상승 취약점이 존재함
  • /pair approve 명령 경로에서 호출자의 scope 전달이 누락되어 승인 검증이 제대로 수행되지 않음
  • 페어링 권한만 가진 사용자가 관리자 권한 없이도 관리자 접근 권한을 포함한 장치 요청을 승인할 수 있음
  • 취약한 코드 위치는 extensions/device-pair/index.ts 및 src/infra/device-pairing.ts로 확인됨

영향 및 심각도

• CVSS v4.0 기준 8.6점 (HIGH)

  • 벡터: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

• CVSS v3.1 기준 8.1점 (HIGH)

  • 벡터: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
  • CWE-863 (Incorrect Authorization) 으로 분류됨
  • 잘못된 권한 검증으로 인해 비관리자 사용자가 관리자 수준 작업을 수행할 수 있는 문제

영향받는 소프트웨어

• OpenClaw Node.js 버전 중 2026.3.28 이전 버전이 취약함
  • CPE 식별자: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
  • 이후 버전에서 문제 수정 완료

수정 및 권장 조치

• 패치 커밋: e403decb6e20091b5402780a7ccd2085f98aa3cd
• 보안 권고: GHSA-hc5h-pmr3-3497
• 추가 분석: VulnCheck Advisory
• 2026.3.28 이상 버전으로 업데이트 필요

변경 이력

• 2026-03-31: VulnCheck에서 신규 CVE 등록 및 CVSS 정보 추가
• 2026-04-01: NIST에서 초기 분석 및 CPE 구성 추가
• 주요 변경 내역
  • CVSS v3.1 벡터 수정
  • CWE-863 추가
  • GitHub 패치 및 권고 링크 등록

출처 및 관리 정보

• CVE ID: CVE-2026-33579
• 발행 기관: NIST National Vulnerability Database (NVD)
• 등록 출처: VulnCheck
• 최초 게시일: 2026년 3월 31일
• 최종 수정일: 2026년 4월 1일