OpenClaw Corrige une Élévation de Privilèges Critique dans le Chemin d'Approbation /pair

✍️ OpenClawRadar📅 Publié: April 13, 2026🔗 Source
OpenClaw Corrige une Élévation de Privilèges Critique dans le Chemin d'Approbation /pair
Ad

Correctif de sécurité pour la couche d'appel d'outils OpenClaw

OpenClaw a publié la version 2026.3.28 pour corriger une vulnérabilité critique d'élévation de privilèges découverte par Ant AI Security Lab. Cela concerne les utilisateurs exécutant OpenClaw comme couche d'appel d'outils pour les LLM locaux.

Détails de la vulnérabilité

La vulnérabilité se trouvait dans le chemin de la commande /pair approve. Plus précisément, lors de l'approbation d'un périphérique, le système n'a pas transmis les portées de l'appelant à la vérification principale d'approbation. Cela permettait à un utilisateur disposant de privilèges d'appairage (mais pas de privilèges administrateur) d'approuver une demande de périphérique en attente qui demandait des portées plus larges, y compris l'accès administrateur.

Ad

Informations sur les versions

  • Versions affectées : OpenClaw <= 2026.3.24
  • Version corrigée : OpenClaw >= 2026.3.28

Implications de sécurité

Cette vulnérabilité est particulièrement pertinente pour toute personne exécutant des LLM locaux avec accès aux outils via OpenClaw. Si un modèle est victime d'une injection d'invite et peut émettre des commandes en votre nom, c'est exactement le type de chemin qui pourrait être exploité pour obtenir des privilèges élevés.

L'identifiant de l'avis est GHSA-hc5h-pmr3-3497, et l'avis de sécurité complet est disponible sur GitHub.

📖 Read the full source: r/openclaw

Ad

👀 See Also

Pic de sévérité des CVE après la sortie de la prévisualisation du Mythe de Claude — Données Epoch AI
Security

Pic de sévérité des CVE après la sortie de la prévisualisation du Mythe de Claude — Données Epoch AI

Epoch AI signale un bond de 3,5x des CVE de sévérité haute et critique en juin 2026, après l'annonce par Anthropic de Claude Mythos Preview et du Projet Glasswing.

OpenClawRadar
Développeur Construit un Bac à Sable Firecracker MicroVM pour la Sécurité OpenClaw
Security

Développeur Construit un Bac à Sable Firecracker MicroVM pour la Sécurité OpenClaw

Un développeur préoccupé par la sécurité des LLM a construit un bac à sable bare-metal en utilisant des microVMs Firecracker pour isoler les scripts OpenClaw, chaque script s'exécutant dans son propre noyau Linux avec une limite de 128 Mo de RAM et sans réseau par défaut.

OpenClawRadar
OpenObscure : Pare-feu de confidentialité open-source pour agents IA fonctionnant sur l'appareil
Security

OpenObscure : Pare-feu de confidentialité open-source pour agents IA fonctionnant sur l'appareil

OpenObscure est un pare-feu de confidentialité open-source et sur appareil qui s'intercale entre les agents d'IA et les fournisseurs de LLM. Il utilise le chiffrement FF1 à préservation de format avec AES-256 pour chiffrer les données personnelles avant que les requêtes ne quittent votre appareil, préservant la structure des données tout en protégeant la vie privée.

OpenClawRadar
Publicité Google malveillante ciblant l'installation du code Claude
Security

Publicité Google malveillante ciblant l'installation du code Claude

Une publicité Google malveillante apparaît comme premier résultat pour les recherches 'install claude code', tentant de tromper les utilisateurs pour qu'ils exécutent des commandes terminal suspectes. La publicité était toujours active au 15 mars 2026, et l'auteur a évité de justesse d'exécuter le code.

OpenClawRadar