【漏洞通告】OpenClaw 未授权访问漏洞(CVE-2026-32914)
发布时间 2026-03-30一、漏洞概述
漏洞名称 | OpenClaw 未授权访问漏洞 | ||
CVE ID | CVE-2026-32914 | ||
漏洞类型 | 未授权访问 | 发现时间 | 2026-3-30 |
漏洞评分 | 8.7 | 漏洞等级 | 高危 |
攻击向量 | 网络 | 所需权限 | 低 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
OpenClaw是一款面向自动化任务执行与智能代理调度的开源平台,支持通过命令驱动方式管理任务执行、系统配置及调试流程。系统具备插件扩展能力、权限控制机制及多角色协作能力,广泛应用于自动化运维、AI Agent调度及复杂工作流编排等场景。
2026年3月30日,启明星辰安全应急响应中心(VSRC)监测到OpenClaw 未授权访问漏洞。该漏洞源于/config与/debug等敏感命令接口在实现过程中仅校验调用方是否具备command-authorized权限,而未进一步验证是否为owner身份,导致权限控制逻辑缺失。攻击者可利用该缺陷,通过具备基础命令执行权限的账号访问本应仅限owner的配置与调试接口,读取或篡改系统关键配置参数,甚至获取敏感调试信息。该漏洞可能被用于权限提升、系统配置篡改及进一步攻击链构建,影响系统完整性与保密性,并可能违反相关数据安全与合规要求,对组织业务安全造成较大风险。
二、影响范围
openclaw <= 2026.3.11
三、安全措施
3.1 升级版本
下载链接:https://github.com/openclaw/openclaw/releases/
3.2 临时措施
暂无。
京公网安备11010802024551号