夜雨聆风“扫描下方二维码,进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与!”
OpenClaw 曝出严重权限提升漏洞,攻击者仅需具备基础配对权限,即可绕过作用域校验,将权限提升至管理员级别并实现远程代码执行。
目前 360 漏洞研究院已成功复现该漏洞并验证了危害。本文包含完整影响范围、修复方案、技术原理与复现细节,建议用户立即升级。
漏洞概述 | |||
漏洞名称 | OpenClaw 权限提升导致远程代码执行漏洞 | ||
漏洞编号 | LDYVUL-2026-00048845 | ||
公开时间 | 2026-03-25 | POC状态 | 未公开 |
漏洞类型 | 权限管理不当 | EXP状态 | 未公开 |
利用可能性 | 高 | 技术细节状态 | 未公开 |
CVSS 3.1 | 9.9 | 在野利用状态 | 未发现 |
01
漏洞影响范围
受影响的软件版本:
openclaw < 2026.3.22
02
修复建议
正式防护方案
升级至 openclaw >= 2026.3.22 或更高版本。
03
漏洞描述
近日,OpenClaw 被曝存在严重的权限提升漏洞。由于 device.pair.approve 接口在处理设备配对请求时,未能对审批者(Approver)的实际作用域(Scopes)进行有效校验,导致具备 operator.pairing 权限的低权限攻击者可越权批准挂起的设备请求。攻击者借此可将权限非法提升至 operator.admin 级别,进而利用系统管理功能执行恶意代码(Node RCE),实现对网关服务器的完全接管及底层数据窃取。
04
漏洞复现
360 漏洞研究院已成功复现该漏洞,并验证其可实现权限提升,进而导致远程代码执行。
POC 初始仅拥有一个具备 operator.pairing 权限的设备 f350*。随后,其发起一个 operator.admin 权限设备(dbdf*)的申请,并利用设备 f350* 完成审批,最终成功获取 operator.admin 权限。
OpenClaw 权限提升导致远程代码执行漏洞复现
05
时间线
2026年03月26日,360漏洞研究院发布本安全风险通告。
06
参考链接
https://github.com/openclaw/openclaw/security/advisories/GHSA-hf68-49fm-59cq
07
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
邮箱:360VRI@360.cn
网址:https://vi.loudongyun.360.net
“洞”悉网络威胁,守护数字安全
关于我们
360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。
