OpenClaw 设备身份验证绕过漏洞(CVE-2026-28472)通告01漏洞综述漏洞背景OpenClaw 是一个用于设备网关通信的开源框架,支持通过 WebSocket 协议进行设备连接与控制。近日,新华三盾山实验室监测到 OpenClaw 官方修复了一个设备身份验证绕过漏洞 (CVE-2026-28472) ,其 CVSS3 漏洞评分为 9.8 。漏洞详情该漏洞存在于 OpenClaw 网关的 WebSocket 连接握手逻辑中。当请求中包含auth.token 参数时,系统仅检查其存在性而未验证其有效性,导致攻击者可通过构造任意 token 值绕过设备身份校验和配对流程,直接建立连接并获取操作员权限,进而控制整个部署环境。由于漏洞影响范围较大,建议用户尽快更新至最新版本。02影响范围OpenClaw < 2026.2.203严重等级威胁等级严重影响程度广泛利用价值高利用难度低漏洞评分9.804处置方法缓解措施立即升级至 OpenClaw 2026.2.2 或更高版本;在升级前,建议通过防火墙限制对网关端口的访问,仅允许可信 IP 连接。05参考链接https://nvd.nist.gov/vuln/detail/CVE-2026-28472https://github.com/openclaw/openclaw/security/advisories/GHSA-rv39-79c4-7459
夜雨聆风
