CVE-2026-41399CVE-2026-41399是OpenClaw软件中的一个高危漏洞。在2026.3.28之前的版本中,系统未能正确限制未认证的WebSocket并发升级数量。未经身份验证的远程攻击者可利用此缺陷,发起大量无限制的并发连接请求,从而迅速耗尽服务器的套接字资源及工作线程容量。这将导致WebSocket服务不可用,使合法客户端的正常服务请求被拒绝,造成拒绝服务。
此漏洞的深层技术原因在于OpenClaw在WebSocket协议升级阶段的资源管理逻辑存在缺陷。在2026.3.28之前的版本中,服务器在接收到WebSocket升级请求时,未对未认证的并发连接数实施有效的预算分配或速率限制。攻击者无需进行身份验证,即可通过网络向量(AV:N)向目标服务器发起海量的并发WebSocket握手请求。由于每个连接都会占用服务器的文件描述符、套接字缓冲区以及关联的工作线程上下文,这种无限制的资源分配会导致系统资源迅速被耗尽。当套接字资源池枯竭或工作队列被填满时,服务器将失去响应能力,无法为合法客户端建立新的WebSocket连接。这种攻击利用了协议处理中的异步I/O资源竞争漏洞,能够以极低的带宽消耗瘫痪服务,属于典型的拒绝服务攻击。