CVE-2026-32987OpenClaw在2026.3.13之前的版本中存在严重安全漏洞。该漏洞位于设备配对验证模块,允许攻击者重放bootstrap设置代码。攻击者可在管理员批准配对前多次验证有效代码,进而提升待处理配对的权限范围至operator.admin。此漏洞无需用户交互且无需认证即可被利用,导致攻击者获得系统最高权限,严重威胁系统的机密性、完整性和可用性。
该漏洞源于OpenClaw在src/infra/device-bootstrap.ts中实现的设备引导逻辑存在缺陷。系统在设备配对验证过程中使用了bootstrap code作为凭证,但未实施有效的防重放机制。攻击者可以利用这一缺陷,截获或获取一个有效的bootstrap code,并在配对请求处于待批准状态的窗口期内,反复向服务器发送该代码进行验证。由于系统未能识别重复的验证请求,攻击者可以借此篡改配对请求的scope参数,将原始权限提升为operator.admin。这种逻辑缺陷使得未经身份验证的远程攻击者能够绕过正常的授权流程,轻易获取系统的完全控制权。