CVE-2026-41303OpenClaw在2026.3.28之前的版本中存在严重的授权绕过漏洞,问题出在Discord文本审批命令的处理逻辑中。该漏洞允许非审批人员绕过channels.discord.execApprovals.approvers白名单限制,直接解决待执行的主机审批请求。攻击者利用此漏洞可未授权执行敏感操作,对系统机密性、完整性和可用性造成严重影响。
该漏洞的根源在于OpenClaw对Discord文本命令的权限校验逻辑存在缺陷。在处理待执行的主机审批请求时,系统未能严格验证发送者是否属于channels.discord.execApprovals.approvers白名单。攻击者只需向Discord接口发送特定的文本命令,即可触发审批通过流程。由于缺乏有效的身份验证机制,系统错误地将来自非授权用户的请求视为合法操作。利用方式非常简单,攻击者无需复杂的交互,只需具备基本的网络访问权限和低级别账户,即可通过构造恶意消息包,绕过现有的安全控制,强制批准原本需要高级权限确认的执行任务,从而完全控制受影响的主机执行流程。