CVE-2026-32004OpenClaw 2026.3.2之前的版本在/api/channels路由分类组件中存在认证绕过漏洞。该漏洞由认证路径分类与路由路径规范化之间的处理深度不一致引起。攻击者可以利用此漏洞,通过提交深度编码的斜杠变体(例如多重编码的%2f),欺骗身份验证机制。由于验证模块无法正确解析这些变体,请求绕过了插件路由的身份验证检查,进而允许未授权访问受保护的/api/channels端点。此漏洞可能导致敏感数据泄露或未授权的系统操作。
该漏洞的根源在于OpenClaw框架在处理HTTP请求路径时,身份验证模块与路由分发模块之间的URL规范化逻辑存在深度不匹配。在Web应用中,URL规范化通常包括将URL编码字符(如%2f解码为/)还原为其原始形式。在受影响的OpenClaw版本中,认证中间件在检查请求是否需要身份验证时,对路径的解码深度有限。例如,它可能只解码一次%2f,或者根本不解码,导致特殊构造的路径被判定为非受保护路径。然而,后端的路由分发器在最终定位处理函数时,可能会执行更深层次的递归解码或使用不同的规范化库。攻击者利用这一差异,向/api/channels端点发送请求,但将路径分隔符/进行多重编码(例如使用%252f)。当请求到达认证层时,由于其解码逻辑较浅,未能识别出该路径指向受保护的API资源,从而放行了请求。随后,请求到达路由层,经过完整解码后成功匹配到/api/channels的处理函数,导致攻击者在未提供任何凭据的情况下获取了敏感信息或执行了受限操作。