CVE-2026-35657OpenClaw在2026年3月25日之前的版本中存在授权绕过漏洞。该漏洞位于HTTP /sessions/:sessionKey/history路由,由于系统错误地跳过了operator.read权限范围的验证,导致攻击者可以利用低权限账户身份,直接向易受攻击的端点发送HTTP请求。这使得攻击者能够在未获得适当操作员读取权限的情况下,非法访问并获取敏感的会话历史记录,从而造成严重的信息泄露风险。
该漏洞的根源在于OpenClaw应用程序在处理特定API请求时,未能正确执行访问控制策略。具体而言,/sessions/:sessionKey/history路由的后端代码逻辑中缺少了对operator.read scope的强制校验机制。通常,系统应验证请求者的身份令牌是否包含读取会话历史的特定权限,但此验证步骤被意外跳过。攻击者利用该漏洞无需具备高权限管理员身份,仅需拥有一个基本的低权限账户(满足PR:L条件)。攻击过程无需复杂的用户交互(UI:N),攻击者只需构造包含目标sessionKey的HTTP GET请求,并附带低权限凭证发送至服务器。由于服务端未拦截请求,攻击者即可成功获取本应受限的会话历史数据,导致高机密性影响(C:H),但对完整性和可用性无直接影响。