UNKNOWNCVE-2026-32917
CVE-2026-32917:OpenClaw命令注入漏洞,可远程执行代码
平台
other
组件
openclaw
已修复版本
2026.3.13
CVE-2026-32917是OpenClaw 2026.3.13之前版本中的一个远程命令注入漏洞,它允许攻击者在配置的远程主机上执行任意命令。此漏洞存在的原因是,未经处理的包含shell元字符的远程附件路径被直接传递给SCP远程操作数,而没有经过验证,从而在启用远程附件暂存时实现命令执行。受影响的版本包括0到2026.3.13。此漏洞已在2026.3.13版本中修复。
修复方法
请将 OpenClaw 更新到 2026.3.13 或更高版本。此版本通过在将 iMessage 附件路径传递给 SCP 之前正确验证它们,从而修复了远程命令注入 (Remote Command Injection) 漏洞。
常见问题
CVE-2026-32917是什么?
CVE-2026-32917是OpenClaw中的一个远程命令注入漏洞,允许攻击者在远程主机上执行任意命令。
我是否受到CVE-2026-32917的影响?
如果您正在使用OpenClaw 2026.3.13之前的版本,并且启用了远程附件暂存,那么您可能会受到此漏洞的影响。
如何修复CVE-2026-32917?
将OpenClaw升级到2026.3.13或更高版本可以修复此漏洞。