CVE-2026-32914 涉及 OpenClaw 中的一个权限提升漏洞,该漏洞存在于 /config 和 /debug 命令处理程序中,允许未经授权的用户访问仅限所有者的配置。受影响的版本为 0–2026.3.12。该漏洞的 CVSS 评分为 8.8 (HIGH)。 修复版本为 2026.3.12,建议尽快更新。
OpenClaw中的CVE-2026-32914,CVSS评分8.8,对运行2026.3.12之前的版本的系统构成重大风险。此访问控制不足漏洞允许具有命令授权但非所有者的用户访问仅限所有者的表面。这意味着具有命令授权的攻击者可能能够读取或修改仅限于所有者的特权配置设置,从而损害系统完整性和机密性。该漏洞的严重性源于其易于利用以及对OpenClaw系统安全态势的潜在影响。
具有命令授权但不是OpenClaw系统所有者的攻击者可以利用此漏洞。这可能是通过其他方式获得访问权限的具有有限权限的用户,或已破坏具有命令权限的帐户的外部攻击者。然后,攻击者可以使用/config和/debug命令来读取或修改敏感配置,例如密码、API密钥或关键配置参数。缺乏所有者级别的权限检查允许这种未经授权的访问,从而构成重大安全风险。
Organizations deploying OpenClaw in environments where command authorization is broadly granted are at risk. This includes systems with shared accounts or where user access controls are not strictly enforced. Environments utilizing OpenClaw for critical infrastructure or sensitive data processing are particularly vulnerable.
disclosure
漏洞利用状态
EPSS
0.05% (14% 百分位)
CISA SSVC
缓解CVE-2026-32914的最有效方法是将OpenClaw升级到2026.3.12或更高版本。此更新包含必要的修复程序,以实施适当的访问控制并防止未经授权访问所有者表面。在此期间,限制对/config和/debug命令的访问仅限于授权和所有者用户。定期监控系统日志中与这些命令相关的可疑活动也可以帮助检测和响应潜在的利用尝试。及时应用更新对于保护OpenClaw系统免受此漏洞至关重要。
将 OpenClaw 更新到 2026.3.12 或更高版本。此版本修复了 /config 和 /debug 端点中访问控制不足的漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
在OpenClaw中,“所有者”是拥有最高权限并对系统拥有完全控制权的用户。只有所有者才能执行某些操作,例如修改核心配置或访问敏感信息。
您可以检查管理界面中的版本信息或在OpenClaw系统中执行特定命令来验证您正在使用的OpenClaw版本。
如果无法立即升级,请限制对/config和/debug命令的访问仅限于授权和所有者用户。定期监控系统日志中是否存在可疑活动。
攻击者可能会破坏密码、API密钥、关键配置参数以及存储在系统配置中的其他敏感数据。
您可以在诸如国家漏洞数据库(NVD)之类的漏洞数据库或OpenClaw官方文档中找到有关CVE-2026-32914的更多信息。
CVSS 向量