CVE-2026-41910OpenClaw在2026.4.8之前的版本中存在访问控制失效漏洞。由于/allowlist端点未强制执行仅所有者可写的限制,已授权的非所有者用户可以绕过安全检查,跨频道修改其他频道的允许列表,从而破坏系统的信任模型。
该漏洞的根本原因是服务器端对/allowlist端点的请求处理逻辑存在缺陷。系统在进行允许列表写入操作时,仅验证了请求者是否持有有效的认证凭证(低权限用户即可满足),但未验证请求者是否为目标频道的所有者。攻击者首先需要注册或获取一个普通用户账户。随后,通过抓包或脚本构造向/allowlist接口发送的HTTP请求,在请求体中指定受害者频道的ID及希望修改的允许列表内容。由于系统缺失了“Channel ID Ownership”的校验环节,攻击者可以成功执行跨频道的写入操作。这属于典型的水平权限越权(IDOR)漏洞,利用过程无需用户交互,且攻击复杂度低。