CVE-2026-45005OpenClaw在2026.4.23版本之前存在一个安全漏洞,涉及Webhook路由密钥的缓存机制。该产品会缓存由SecretRef值解析的Webhook路由密钥,但在密钥轮换和重新加载后,未能使旧的缓存失效。这意味着,攻击者如果掌握了之前有效的Webhook路由密钥,即使管理员已经轮换了密钥,攻击者仍可利用这些过期的密钥继续进行身份验证并调用配置的Webhook任务流,直到网关或插件重启为止。该漏洞的CVSS评分为6.0,属于中危级别。
该漏洞的根本原因在于OpenClaw处理Webhook路由密钥时的缓存逻辑不完善。当系统使用SecretRef引用外部密钥时,OpenClaw会在启动或配置加载时解析该引用并将实际密钥值存储在内存缓存中。然而,当管理员更新底层的SecretRef值(即进行密钥轮换)并触发配置重载时,OpenClaw并未清除或更新内存中已缓存的旧密钥。利用该漏洞的前提是攻击者已经获取了轮换前的有效密钥。在密钥轮换发生后,虽然新密钥应当生效,但由于缓存未失效,攻击者可以使用旧密钥构造请求发送至Webhook端点。网关在验证时,会直接命中内存中的旧缓存,从而通过身份验证。这导致密钥轮换机制失效,攻击者可以维持对Webhook任务流的未授权访问。由于CVSS向量显示需要高权限(PR:H),这通常意味着攻击者需要具备一定的内部访问权限或曾拥有合法的API访问凭证才能发起攻击。