CVE-2026-33579 — 神龙十问 AI 深度分析摘要
CVSS 9.9 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:权限提升漏洞。 📉 **后果**:普通用户可越权获取**管理员权限**。 ⚠️ **核心**:配对审批流程缺乏严格的**调用者范围验证**,导致权限边界失效。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-863(不正确的授权)。 📍 **缺陷点**:`/pair approve` 命令路径。 ❌ **原因**:系统未校验请求者是否具备批准**更广范围**(如管理员级)设备的权限。
Q3影响谁?(版本/组件)
📦 **产品**:OpenClaw(智能人工助理)。 📅 **版本**:**2026.3.28 之前**的所有版本。 🏢 **厂商**:OpenClaw。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:从普通**配对权限**提升至**管理员访问**。 💾 **数据**:可控制待处理设备的**全范围访问**。 🚀 **影响**:CVSS 评分极高(C:H/I:H/A:H),几乎完全破坏机密性、完整性和可用性。
Q5利用门槛高吗?(认证/配置)
🔑 **认证**:需要**低权限**(PR:L)。 🎯 **条件**:攻击者需拥有**配对权限**。 🚫 **UI**:无需用户交互(UI:N)。 🌐 **网络**:远程可利用(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:暂无公开 PoC(pocs 为空)。 🌍 **在野**:目前无在野利用报告。 🔗 **参考**:仅见 GitHub 补丁和 VulnCheck 公告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 OpenClaw 版本是否 **< 2026.3.28**。 📋 **日志**:监控 `/pair approve` 接口的异常调用。 👤 **权限**:审计拥有“配对权限”但无“管理员权限”的用户行为。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**:官方已发布补丁。 🔗 **补丁链接**:GitHub Commit `e403decb...`。 📅 **发布日期**:2026-03-31。 🛡️ **建议**:立即升级至 **2026.3.28 或更高版本**。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法升级,**禁用** `/pair approve` 命令。 🚫 **限制**:严格限制拥有配对权限的用户列表。 👁️ **监控**:对设备配对请求进行**人工二次审核**。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 ⚡ **理由**:CVSS 向量显示高严重性,且为远程低权限即可触发。 🏃 **行动**:建议**立即**打补丁,防止管理员权限被窃取。