ThaiCERT ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบประกาศด้านความมั่นคงปลอดภัยเกี่ยวกับช่องโหว่ใน OpenClaw ซึ่งเป็นแพ็กเกจ openclaw บน npm โดยช่องโหว่นี้เกิดจากการที่ระบบอนุญาตให้นำ bootstrap setup code กลับมาใช้ซ้ำได้ในขั้นตอนยืนยันการจับคู่อุปกรณ์ (device pairing) ก่อนที่คำขอจะได้รับอนุมัติ ส่งผลให้ผู้โจมตีสามารถขยายสิทธิ์ของคำขอที่ยังรออนุมัติได้ และอาจยกระดับสิทธิ์ไปถึง operator.admin ได้ [1]
1. รายละเอียดช่องโหว่
– CVE-2026-32987 – Bootstrap Setup Code Replay / Privilege Escalation ( CVSS v3.1: 9.8 )ในกระบวนการ device pairing ของ OpenClaw ผู้โจมตีสามารถนำ bootstrap setup code ที่ถูกต้องกลับมาใช้ยืนยันซ้ำได้หลายครั้งก่อนที่คำขอ pairing จะได้รับอนุมัติ ทำให้แก้ไข scope ของคำขอที่ยัง pending และขยายสิทธิ์ได้ รวมถึงยกระดับจากสิทธิ์ระดับต่ำไปเป็น operator.admin ได้ [2]
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
– openclaw ตั้งแต่เวอร์ชัน 2026.3.12 ลงมา
3. แนวทางการแก้ไข
– อัปเดต openclaw เป็นเวอร์ชัน 2026.3.13 หรือสูงกว่า
4. หากยังไม่สามารถอัปเดตได้ ควรดำเนินการดังนี้ [3]
– ตรวจสอบคำขอ device pairing ที่อยู่ระหว่างรออนุมัติ ว่ามีการเปลี่ยนแปลง scope ผิดปกติหรือไม่
– จำกัดผู้ที่สามารถออก bootstrap setup code และผู้ที่มีสิทธิ์อนุมัติ pairing ให้เหลือเฉพาะผู้ดูแลที่จำเป็น
– เฝ้าระวัง log หรือเหตุการณ์ที่เกี่ยวข้องกับการยืนยัน bootstrap token ซ้ำและการร้องขอ scope ที่กว้างผิดปกติ
แหล่งอ้างอิง
[1] https://github.com/openclaw/openclaw/security/advisories/GHSA-63f5-hhc7-cx6p
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-32987
[3] https://github.com/openclaw/openclaw/commit/1803d16d5cec970c54b0e1ac46b31b1cbade335c