CVE-2026-32919OpenClaw在2026.3.11之前的版本中存在严重的授权绕过漏洞。由于系统在处理特定代理请求时的权限校验逻辑存在缺陷,仅拥有operator.write权限的攻击者即可通过精心构造包含/new或/reset斜杠命令的请求,非法访问原本仅限operator.admin权限用户使用的会话重置逻辑。成功利用该漏洞可导致目标对话状态被恶意重置,严重影响系统的完整性与可用性。
该漏洞的根本原因在于OpenClaw对特定API端点的访问控制实现不严谨。在受影响版本中,系统设计上要求只有具备operator.admin权限的用户才能执行会话重置操作(即通过/new或/reset斜杠命令触发)。然而,在处理代理请求的代码逻辑中,开发人员错误地仅校验了调用者是否具备operator.write权限,而未进一步验证其是否拥有执行敏感管理操作的高级权限。这构成了典型的权限越界漏洞。攻击者一旦获取了基础的写入权限,便可利用这一逻辑漏洞,构造恶意的JSON数据包发送至服务器。服务器在解析到斜杠命令后,由于缺乏二次权限校验,会直接执行会话重置逻辑,导致目标用户的当前对话上下文丢失,造成拒绝服务或状态篡改的后果。