Kerentanan Eskalasi Hak Akses OpenClaw (CVE-2026-33579)

 (nvd.nist.gov)
3 poin oleh GN⁺ 16 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Ditemukan kerentanan eskalasi hak akses yang memungkinkan pengguna non-admin menyetujui permintaan hak admin pada OpenClaw versi sebelum 2026.3.28
  • Pada perintah /pair approve, scope tidak diteruskan sehingga verifikasi persetujuan tidak dilakukan dengan benar dan memicu masalah otorisasi yang tidak tepat (CWE-863)
  • Kerentanan ini dinilai 8.6 menurut CVSS v4.0 dan 8.1 menurut v3.1, keduanya dengan tingkat keparahan tinggi (HIGH)
  • Kode yang rentan berada di extensions/device-pair/index.ts dan src/infra/device-pairing.ts, dan telah diperbaiki pada versi 2026.3.28
  • Pengguna dan administrator harus memperbarui ke versi yang telah ditambal dan merujuk ke advisori keamanan GitHub (GHSA-hc5h-pmr3-3497)

Ringkasan kerentanan

  • OpenClaw versi sebelum 2026.3.28 memiliki kerentanan eskalasi hak akses
    • Pada jalur perintah /pair approve, scope pemanggil tidak diteruskan sehingga verifikasi persetujuan tidak berjalan semestinya
    • Pengguna yang hanya memiliki izin pairing dapat menyetujui permintaan perangkat yang mencakup hak akses admin tanpa hak admin
    • Lokasi kode yang rentan dikonfirmasi berada di extensions/device-pair/index.ts dan src/infra/device-pairing.ts

Dampak dan tingkat keparahan

  • Skor 8.6 menurut CVSS v4.0 (HIGH)

    • Vektor: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

  • Skor 8.1 menurut CVSS v3.1 (HIGH)

    • Vektor: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • Diklasifikasikan sebagai CWE-863 (Incorrect Authorization)
    • Karena verifikasi otorisasi yang salah, pengguna non-admin dapat menjalankan operasi tingkat admin

Perangkat lunak yang terdampak

  • OpenClaw versi Node.js sebelum 2026.3.28 terdampak
    • Pengenal CPE: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
    • Masalah telah diperbaiki pada versi setelahnya

Perbaikan dan tindakan yang disarankan

Riwayat perubahan

  • 2026-03-31: VulnCheck mendaftarkan CVE baru dan menambahkan informasi CVSS
  • 2026-04-01: NIST menambahkan analisis awal dan konfigurasi CPE
  • Perubahan utama
    • Perbaikan vektor CVSS v3.1
    • Penambahan CWE-863
    • Penambahan tautan patch dan advisori GitHub

Sumber dan informasi pengelolaan

  • CVE ID: CVE-2026-33579
  • Lembaga penerbit: NIST National Vulnerability Database (NVD)
  • Sumber pendaftaran: VulnCheck
  • Tanggal publikasi awal: 31 Maret 2026
  • Tanggal revisi terakhir: 1 April 2026

Bacaan terkait

1 komentar

 
GN⁺ 16 hari lalu
Komentar Hacker News

  • Saya adalah pembuat OpenClaw
    Masalah kali ini adalah bug eskalasi hak akses, tetapi bukan sampai level “bisa mengambil alih semua instance hanya dengan pesan Telegram/Discord apa pun”
    Penyebabnya adalah perbaikan yang tidak tuntas, dan jalur perintah plugin /pair approve memanggil fungsi approval tanpa callerScopes, sehingga memungkinkan bypass scope-ceiling
    Artinya, klien yang sudah punya akses ke gateway bisa menyetujui hak akses yang lebih luas (misalnya operator.admin) dengan perintah /pair approve latest
    Ini bukan masalah yang khas Telegram atau penyedia pesan tertentu, melainkan kerentanan pada logika umum handler perintah plugin
    Dalam kasus Telegram, kebijakan DM bawaan memblokir orang luar, jadi “mendapat hak admin dengan satu pesan” tidak mungkin terjadi
    Jika digunakan sebagai asisten pribadi, risiko nyatanya sangat rendah, dan saat ini saya sedang memperkuat codebase bersama para engineer dari Nvidia, ByteDance, Tencent, dan OpenAI

    • Ingin tahu apakah bisa dijelaskan lebih lanjut soal statistik dari OP
      Saya ingin memastikan apakah benar bahwa “lebih dari 135k instance OpenClaw terekspos ke publik, dan 63% di antaranya berjalan tanpa autentikasi sehingga siapa pun bisa mengirim permintaan pairing”
      Jika itu benar, gambaran risikonya akan sangat berbeda dari yang dijelaskan penulis
    • Ingin tahu apa tepatnya maksud dari “sedang bekerja bersama Nvidia, ByteDance, Tencent, OpenAI”
      Apakah ada kontrak dengan mereka, atau hanya pegawai dari perusahaan-perusahaan itu yang berkontribusi ke open source
    • “Nvidia, ByteDance, Tencent, OpenAI? Wow!”
      Kaget bahwa perusahaan-perusahaan besar seperti itu ikut terlibat
    • Memberi tanggapan bercanda seperti “bukannya coding itu sudah jadi masalah yang selesai?”
      Menambahkan satire AI semacam “tinggal kasih prompt ke Claude Code: ‘tolong perkuat keamanan’”

  • Membagikan tautan days-since-openclaw-cve.com
    Dikatakan bahwa sejak peluncuran OpenClaw, rata-rata 1,8 CVE dilaporkan per hari

    • Angka itu terasa benar-benar mengerikan
      Tentu, proyek yang banyak disorot seperti OpenClaw mungkin memang akan menemukan lebih banyak kerentanan, tetapi “1,8 per hari” secara nalar terasa terlalu tinggi
      Pada tingkat seperti ini, dipertanyakan apakah orang yang rasional seharusnya menghindari perangkat lunak itu

  • Membagikan tautan arsip dari postingan Reddit asli yang sudah dihapus

    • Kemungkinan dihapus karena dianggap spam AI
      Disebutkan bahwa tulisan-tulisan lain dari penulisnya juga semuanya promosi proyek AI
    • Menyebut “saya akan menambahkan tautan itu ke teks di bagian atas”

  • Saya tidak memakai OpenClaw, tetapi menjalankan Claude Code dan Codex di akun pengguna macOS terbatas
    Melalui skrip become-agent [cmd ...], saya menjalankannya via sudo dari akun terbatas agar tidak bisa mengakses environment variable atau direktori saya
    Dengan cara ini, pendekatannya lebih aman sambil tetap kurang rumit dibanding sandbox-exec penuh
    Sistem Unix memang pada dasarnya kuat dalam struktur isolasi multiuser seperti ini

    • Saya rasa sandboxing di level kernel itu penting
      Saya memakai alat bernama greywall untuk mengisolasi filesystem dan jaringan di level syscall (berbasis Landlock + Seccomp + eBPF)
      Namun saya tidak setuju dengan pernyataan bahwa “Unix tidak dirancang untuk menjalankan agen seperti ini”
    • Jika memakai alat container open source dari Apple, kita bisa menjalankan VM Linux dalam waktu kurang dari 100ms tanpa hak root
      Dengan Apple Virtualization Framework, kita juga bisa menjalankan VM macOS dengan Apple ID terpisah

  • Masih heran orang-orang masih memakai OpenClaw
    Saya kira semua orang sudah pindah ke Nanoclaw atau Nemoclaw, jadi penasaran apakah ini cuma karena inersia

    • Saya menggunakan Hermes
      Agen apa pun harus dijalankan di dalam sandbox
      Tautan GitHub Hermes
    • NemoClaw hanya wrapper keamanan untuk OpenClaw, bukan pengganti
    • Mengatakan terus terang bahwa “OpenClaw kurang bagus, tetapi kebanyakan orang tidak tahu itu”

  • Menganggap ini adalah hasil yang sudah bisa diperkirakan
    Orang yang kurang paham keamanan memang bodoh jika mengekspos instance, tetapi di saat yang sama keren juga bahwa sekarang siapa pun bisa melakukan eksperimen IT yang menarik
    Pada akhirnya ini soal keseimbangan antara kebebasan dan risiko — seperti memperbaiki mobil sendiri, menyenangkan, tetapi jika salah bisa menyebabkan kecelakaan besar
    Belakangan ini keamanan, privasi, dan perubahan iklim semuanya sedang memburuk, tetapi manusia tetap memprioritaskan hasrat untuk “membuat hal-hal keren”

    • Masalahnya, banyak orang bahkan tidak menyadari risiko seperti ini
    • Seperti dalam “contoh mobil”, salah konfigurasi juga bisa merugikan orang lain
      Pengguna tanpa pengetahuan keamanan bisa membahayakan seluruh internet
      Pada akhirnya, biaya dari eksperimen tanpa tanggung jawab ditanggung masyarakat secara keseluruhan

  • Merasa reaksi di thread /r/sysadmin persis seperti percakapan admin sistem tipikal yang selama ini ia alami

  • Judulnya terasa agak seperti clickbait yang dilebih-lebihkan
    Sebenarnya risikonya hanya ada saat OpenClaw berjalan di server yang terekspos ke publik
    Jika 135 ribu dari 500 ribu adalah instance publik, secara proporsi itu tidak terlalu besar

    • Mengatakan bahwa “kalau seperlima, dalam pembicaraan soal keamanan itu tetap harus dianggap ‘cukup banyak’”
    • Menambahkan bahwa “jika lebih dari 25%, itu sudah cukup untuk disebut ‘mungkin iya’”
    • Menganggap angka “135k instance” sulit dipercaya
    • Mengekspresikan keraguan dengan bercanda bahwa “statistik 35% itu karangan”
    • Meski begitu, jika 65% berjalan tanpa autentikasi, itu tetap berbahaya
      Walaupun judulnya berlebihan, jika itu membantu meningkatkan kewaspadaan keamanan, tetap ada nilainya

  • Mengatakan bahwa “hanya berisiko jika instance OpenClaw terekspos ke internet”

    • Namun menunjukkan bahwa hingga baru-baru ini, konfigurasi bawaan mengikat ke 0.0.0.0
      Jika pengguna keliru mengira router akan melindungi mereka, maka mereka seharusnya tidak memakai OpenClaw
      Membagikan tautan issue dan commit terkait

  • Menyatakan bahwa “secara bawaan ini bukan konfigurasi yang mengekspos hak admin ke internet”