CVE-2026-41334 CVSS 6.5 中危

CVE-2026-41334 OpenClaw解压缩炸弹漏洞

披露日期: 2026-04-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41334

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.3.31之前的版本在图像处理模块中存在解压缩炸弹漏洞。该漏洞源于系统未能正确执行像素限制保护机制。攻击者可利用此漏洞上传特制的超大尺寸图片，导致目标系统在处理过程中消耗过量内存资源，最终引发服务崩溃或拒绝服务。

技术细节

该漏洞的根源在于OpenClaw在调用sips（脚本图像处理系统）工具进行图像处理时，未能正确执行像素限制保护机制。攻击者利用图像压缩算法的特性，可以构造一个在磁盘上体积很小（例如几KB），但在解压后包含巨大像素数量（例如数亿像素）的恶意图像文件，即所谓的“解压缩炸弹”。当系统尝试渲染或处理这个恶意图像时，由于缺少有效的像素上限检查，会尝试分配远超物理内存限制的资源。这种资源耗尽会导致系统响应迟缓、进程崩溃，最终造成拒绝服务，严重影响业务可用性。由于该漏洞通过网络传播且无需认证，攻击者可以轻易地对目标服务器发起攻击，造成严重的业务中断。

攻击链分析

STEP 1

侦察

攻击者识别出运行OpenClaw且版本低于2026.3.31的目标系统。

STEP 2

制作

攻击者构造一个高压缩比的恶意图像文件（解压缩炸弹），该文件体积小但解压后像素尺寸巨大。

STEP 3

投递

攻击者通过目标系统的上传功能，将恶意图像文件发送至服务器。

STEP 4

利用

OpenClaw在处理该图像时调用sips，由于未正确限制像素数量，系统尝试分配巨大内存。

STEP 5

影响

服务器内存资源耗尽，导致服务崩溃或无法响应，实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import zlib

def create_decompression_bomb():
    # Simulate creating a highly compressed file
    # In a real attack, this would be a valid image format like PNG
    # where the IDAT chunk contains a huge amount of data that expands significantly.
    
    # Create a large block of zeros (simulating high pixel count)
    original_size = 100000 * 100000 * 4 # 400MB of raw pixels
    data = b'\x00' * original_size
    
    # Compress the data
    compressed_data = zlib.compress(data)
    
    print(f"Original size: {original_size}, Compressed size: {len(compressed_data)}")
    
    # This compressed_data would be embedded in a valid image structure
    # and uploaded to the vulnerable OpenClaw endpoint.
    
    with open('malicious_image.bin', 'wb') as f:
        f.write(compressed_data)

if __name__ == "__main__":
    create_decompression_bomb()

影响范围

OpenClaw < 2026.3.31

防御指南

临时缓解措施

在服务器层面实施严格的内存和CPU限制（如使用cgroups）；配置Web应用防火墙（WAF）检测并拦截异常高压缩比的图像文件；对上传的图像进行预处理，强制验证其像素尺寸是否在合理范围内。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表