CVE-2026-32924OpenClaw 2026.3.12之前的版本存在严重的授权绕过漏洞。当处理飞书(Feishu)反应事件时,如果数据中省略了chat_type字段,系统会将其错误地分类为P2P对话而非群聊。攻击者可利用此逻辑缺陷绕过groupAllowFrom和requireMention等安全保护机制,在群聊中执行未授权操作。
该漏洞的根源在于OpenClaw对Feishu回调事件中chat_type字段的默认处理逻辑存在缺陷。在正常群聊反应事件中,应包含chat_type字段以标识其为群组环境。然而,当攻击者发送一个刻意省略该字段的恶意事件时,OpenClaw未能遵循“拒绝未知”的安全原则,而是将其默认归类为安全性较低的P2P会话。这种错误分类导致系统直接跳过了针对群聊设置的groupAllowFrom(来源白名单)和requireMention(必须@提及)校验逻辑。由于该漏洞允许无需认证(PR:N)且无需用户交互(UI:N)的网络攻击(AV:N),攻击者可轻易发送特制数据包触发受保护的功能,从而导致信息泄露、数据篡改或服务中断,对系统机密性、完整性和可用性造成严重影响。