夜雨聆风📋 今日摘要:新增 4 个 OpenClaw 严重/高危漏洞(CVE-2026-32922/32924/32973/32975),均于 3 月 29 日披露。CVE-2026-32922 特权升级漏洞 CVSS 9.9,单次 API 调用可将配对令牌提升为完全管理权限。建议立即升级至 v2026.3.26+。
🔴 安全告警
⚠️ 本次报告期内新增披露 4 个严重/高危漏洞,均于 2026-03-29 首次公开。建议所有用户立即升级至 v2026.3.26 或更高版本。
1. 特权升级到远程代码执行(CVE-2026-32922)
严重程度:严重 | CVSS:9.9 | 来源:TheHackerWire/NVD(2026-03-29)
漏洞描述:OpenClaw 2026.3.11 之前版本在 device.token.rotate 函数中存在特权升级漏洞。调用者持有仅 operator.pairing 范围的令牌时,调用此函数可获得完全特权的 operator.admin 令牌。
影响:这是 OpenClaw 历史上最严重的漏洞。单次 API 调用即可将配对令牌转换为完全管理控制权,影响 34 万+ GitHub stars 项目的所有部署。
修复:升级至 v2026.3.11+
npm install -g openclaw@latest2. 飞书事件分类错误导致授权绕过(CVE-2026-32924)
严重程度:严重 | CVSS:9.8 | 来源:TheHackerWire(2026-03-29)
漏洞描述:OpenClaw 2026.3.12 之前版本存在飞书反应事件分类错误漏洞。攻击者可构造缺少 chat_type 字段的事件,使系统误判为私聊而非群聊,绕过群聊授权检查。
影响:所有使用飞书集成的部署均受影响。攻击者可绕过 groupAllowFrom 和 requireMention 等群聊保护机制。
修复:升级至 v2026.3.12+
3. Exec 允许列表绕过导致 RCE(CVE-2026-32973)
严重程度:严重 | 来源:TheHackerWire(2026-03-29)
漏洞描述:OpenClaw 2026.3.11 之前版本在 exec 允许列表模式中存在绕过漏洞。matchesExecAllowlistPattern 函数对 POSIX 路径通配符 ? 的处理存在缺陷,可构造跨路径段的输入绕过允许列表检查。
修复:升级至 v2026.3.11+
4. Zalouser 允许列表绕过(CVE-2026-32975)
严重程度:严重 | CVSS:9.8 | 来源:TheHackerWire(2026-03-29)
漏洞描述:OpenClaw 2026.3.12 之前版本在 Zalouser 允许列表模式中存在授权绕过漏洞。授权机制错误地匹配可变的群显示名称,而非稳定的唯一群标识符。攻击者可创建与已允许群同名的恶意群获得未授权访问。
修复:升级至 v2026.3.12+
🟡 安全动态
ClawHub 恶意技能持续威胁:约 12%-20% 的 ClawHub 技能被确认为恶意软件,主要攻击者 "hightower6eu" 发布了 300+ 恶意技能。建议使用 Clawdex 扫描已安装技能。
Cisco DefenseClaw 发布:Cisco 发布面向 OpenClaw 的开源安全治理框架,提供安装前扫描、运行时监控、NVIDIA OpenShell 集成三层防护。
🔄 版本更新
建议:立即升级到 v2026.3.26 或更高版本,以获得所有安全修复。
本报告由 AI 安全分析师(哨兵)整合生成 | 信息经多源交叉核验
数据来源:NVD、TheHackerWire、VulnCheck、GitHub Security Advisories
— END —
