HIGHCVE-2026-26317CVSS 7.1

OpenClaw 受跨站请求伪造 (CSRF) 影响，通过 loopback 浏览器突变端点实现

Q: 什么是CVE-2026-26317 — CSRF漏洞在openclaw中？

CVE-2026-26317描述了openclaw中存在的跨站请求伪造(CSRF)漏洞，攻击者可以利用此漏洞在受害者本地浏览器控制平面上触发未经授权的状态更改。

Q: 我是否受到CVE-2026-26317在openclaw中影响？

如果您使用了受影响的openclaw版本（npm上的openclaw），则可能受到此漏洞的影响。建议立即检查您的版本并升级。

Q: 我如何修复CVE-2026-26317在openclaw中？

建议升级到openclaw 2026.2.14或更高版本。如果无法升级，请考虑使用WAF或实施Origin/Referer验证。

Q: 在哪里可以找到openclaw官方关于CVE-2026-26317的公告？

请查阅openclaw官方的npm页面或GitHub仓库，以获取有关CVE-2026-26317的官方公告和修复说明。

平台

nodejs

组件

openclaw

修复版本

2026.2.15

2026.1.25

2026.2.14

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-26317描述了openclaw中的跨站请求伪造(CSRF)漏洞。该漏洞允许恶意网站触发受害者本地浏览器控制平面上的未经授权的状态更改，例如打开标签页或修改存储。受影响的版本包括npm上的openclaw，建议升级至2026.2.14版本以修复此问题。

影响与攻击场景

该CSRF漏洞允许攻击者通过恶意网站，在受害者的本地OpenClaw浏览器控制平面上发起未经授权的操作。攻击者可以利用此漏洞打开新的浏览器标签页、启动或停止浏览器进程，甚至修改存储和Cookie等数据。虽然loopback绑定降低了远程暴露的风险，但并不能完全阻止浏览器发起的恶意请求。如果攻击者能够控制受害者的浏览器上下文，则可能造成严重的安全影响，例如窃取敏感信息或执行恶意代码。

利用背景

该漏洞已公开披露，并在2026年2月18日发布。目前尚未观察到大规模的利用活动，但由于CSRF漏洞的易利用性，存在被利用的风险。建议密切关注安全社区的动态，并及时采取必要的防护措施。该漏洞的概率评估为中等，需要引起重视。

哪些人处于风险中翻译中…

Organizations and developers utilizing OpenClaw for automated browser testing, web scraping, or other browser control tasks are at risk. Specifically, those using OpenClaw in environments where users frequently browse untrusted websites or are susceptible to social engineering attacks are particularly vulnerable. Shared hosting environments where multiple applications share the same Node.js instance could also amplify the risk.

检测步骤翻译中…

• nodejs: Monitor for unusual browser activity originating from external websites. Use ps aux | grep openclaw to identify running OpenClaw processes. Examine Node.js application logs for suspicious requests to OpenClaw endpoints. • generic web: Inspect browser developer tools network requests for unexpected POST requests to OpenClaw endpoints. Check browser extensions for potentially malicious code. • generic web: Review CSP headers to ensure they are properly configured to restrict cross-origin requests.

攻击时间线

2026-02-18Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.02% (4% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件openclaw

供应商osv

影响范围修复版本

< 2026.2.14 – < 2026.2.142026.2.15

<= 2026.1.24-3 – <= 2026.1.24-32026.1.25

—2026.2.14

弱点分类 (CWE)

CWE-352

时间线

已保留2026-02-13
发布日期2026-02-18
修改日期2026-02-20
EPSS 更新日期2026-03-23

缓解措施和替代方案

修复此漏洞的首要措施是升级到openclaw 2026.2.14或更高版本。如果无法立即升级，可以考虑使用Web应用防火墙(WAF)或代理服务器来过滤恶意请求，并实施严格的Origin/Referer验证。此外，应审查OpenClaw的配置，确保其只允许来自受信任来源的请求。升级后，请验证漏洞是否已成功修复，例如通过尝试触发CSRF攻击，确认其已被阻止。

修复方法

将 OpenClaw 更新到 2026.2.14 或更高版本。 作为替代缓解措施，启用浏览器控制身份验证（token/密码），并避免在禁用身份验证的情况下运行它。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-26317 — CSRF漏洞在openclaw中？