CVE-2026-3691 CVSS 5.3 中危

CVE-2026-3691 OpenClaw Client PKCE验证器信息泄露漏洞

披露日期: 2026-04-11

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3691

漏洞类型

信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OpenClaw

漏洞概述

OpenClaw客户端存在PKCE验证器信息泄露漏洞。该漏洞源于OAuth授权实现缺陷，敏感数据被暴露在授权URL查询字符串中。远程攻击者可诱导用户发起OAuth授权流程，利用此漏洞披露存储的凭据。此漏洞需要用户交互，成功利用可能导致账户被接管及进一步的安全破坏。

技术细节

该漏洞的核心在于OpenClaw客户端在实现OAuth 2.0 PKCE（Proof Key for Code Exchange）扩展时存在逻辑错误。PKCE机制主要用于防止授权码拦截攻击，其核心包含一个code_verifier（随机数）和一个code_challenge（verifier的哈希）。正常流程中，code_verifier应由客户端保密，仅在交换令牌时使用。然而，受影响的OpenClaw版本错误地将code_verifier或其他敏感凭据参数直接放置在重定向URL的查询字符串中。由于URL查询参数会经过浏览器地址栏、网络代理、服务器访问日志以及HTTP Referer头，任何能够访问这些媒介的攻击者都能截获该敏感信息。一旦攻击者获取了code_verifier，结合截获的授权码，即可向服务器验证身份并获取访问令牌，从而绕过原本的安全校验，窃取用户存储的凭据或访问权限。

攻击链分析

STEP 1

诱导交互

攻击者诱导用户在受影响的OpenClaw客户端上发起OAuth授权流程。

STEP 2

生成请求

客户端生成包含敏感PKCE验证器的授权URL，并将其置于查询字符串中。

STEP 3

截获数据

攻击者通过网络嗅探、日志分析或Referer头拦截包含敏感信息的完整URL。

STEP 4

窃取凭据

攻击者利用截获的验证器和授权码完成OAuth流程，获取访问令牌及存储凭据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Proof of Concept (PoC) for CVE-2026-3691
# Description: This script demonstrates how sensitive information (PKCE verifier)
# might be exposed in the URL query string during the OAuth flow.
# An attacker sniffing the network or analyzing logs could capture this.

def simulate_oauth_redirect():
    target_url = "https://example.com/oauth/authorize"
    # Hypothetical vulnerable parameters based on the description
    # The 'verifier' parameter should not be exposed here.
    params = {
        "client_id": "openclaw_client",
        "response_type": "code",
        "redirect_uri": "https://example.com/callback",
        "scope": "read write",
        "state": "random_state_value",
        "code_challenge": "derived_from_verifier",
        "code_verifier": "SENSITIVE_VERIFIER_EXPOSED_HERE"  # Vulnerability: Sensitive data in URL
    }

    print(f"[*] Simulating OAuth Authorization Request...")
    print(f"[*] Vulnerable URL: {target_url}?{requests.compat.urlencode(params)}")
    print("[!] The 'code_verifier' is exposed in the query string and can be logged or intercepted.")

if __name__ == "__main__":
    simulate_oauth_redirect()

影响范围

OpenClaw (具体受影响版本请参考厂商公告 GHSA-6g25-pc82-vfwp)

防御指南

临时缓解措施

在未应用补丁前，建议用户避免在不可信网络环境下使用OpenClaw进行OAuth授权。管理员应启用日志监控，检测是否存在异常的授权请求或凭据泄露迹象。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表