CVE-2026-41405OpenClaw在2026.3.31之前的版本中存在严重逻辑缺陷。由于其在处理MS Teams webhook请求时,未在解析请求体前进行JWT验证,导致未经认证的攻击者可发送恶意负载。这将导致服务器资源被耗尽,引发拒绝服务,严重影响系统可用性。
该漏洞的核心在于认证与解析的执行顺序错误,属于一种逻辑型漏洞。OpenClaw在接收MS Teams Webhook请求时,标准的处理流程应是优先验证JWT签名以确保请求来源可信,随后再处理业务逻辑。然而,受影响版本在代码实现上存在缺陷,程序先完整解析了请求体内容,之后才执行JWT校验。攻击者利用这一逻辑缺陷,无需持有任何有效凭证(PR:N),即可直接向目标Webhook端点构造并发送特制的大体积或深度嵌套的JSON数据包。服务器在尝试解析这些恶意数据时,CPU利用率飙升且内存被大量占用,最终因资源枯竭而崩溃或无响应,从而达成拒绝服务攻击目的。