CVE-2026-32922 涉及 OpenClaw 中的一个权限提升漏洞,该漏洞允许攻击者生成具有更广泛权限的令牌。受影响的版本为 0–2026.3.11。该漏洞的 CVSS 评分为 9.9 (CRITICAL)。 修复版本为 2026.3.11,建议尽快更新。
CVE-2026-32922 影响 OpenClaw 2026.3.11 之前的版本,存在 device.token.rotate 组件中的特权提升漏洞。此漏洞允许具有 operator.pairing 范围的攻击者生成比允许的范围更广的令牌,因为它未能将新生成的范围限制在调用者的当前范围集合中。这可能导致为配对设备获取 operator.admin 令牌,从而可能通过 system.run 在连接的节点上启用远程代码执行,或获得未经授权的 gateway-admin 访问权限。此漏洞的严重程度评定为高 (CVSS 9.9),表明对受影响系统构成重大风险。
具有有限访问权限但具有 operator.pairing 范围的攻击者可以利用此漏洞来获取具有提升权限的令牌。这可以通过操纵令牌轮换逻辑来实现,从而允许创建 operator.admin 令牌。一旦攻击者拥有 operator.admin 令牌,他们就可以在连接的节点上执行任意命令,或以管理员权限访问网关配置,从而危及系统安全。令牌生成期间缺乏适当的范围验证是此漏洞的根本原因。
Organizations utilizing OpenClaw for managing distributed systems, particularly those relying on token-based authentication and authorization, are at risk. Environments with legacy configurations or those that have not implemented robust token scope validation are especially vulnerable. Any deployment of OpenClaw versions 0 through 2026.3.11 should be considered at immediate risk.
disclosure
漏洞利用状态
EPSS
0.24% (47% 百分位)
CISA SSVC
针对 CVE-2026-32922 的解决方案是将 OpenClaw 升级到 2026.3.11 或更高版本。此更新解决了 device.token.rotate 中的漏洞,该漏洞允许特权提升。建议尽快应用此更新以降低被利用的风险。在此期间,请仔细审查和审计现有的令牌权限,并限制对 system.run 之类的敏感功能访问。监控系统日志以查找可疑活动也有助于检测和响应潜在攻击。
将 OpenClaw 更新到 2026.3.11 或更高版本。此版本修复了 device.token.rotate 函数中的权限提升漏洞,方法是正确验证新创建的令牌的范围。
漏洞分析和关键警报直接发送到您的邮箱。
这些是 OpenClaw 中的权限范围。operator.pairing 允许与设备配对相关的操作,而 operator.admin 授予系统对整个系统的完全管理控制权。
检查您使用的 OpenClaw 版本。如果版本早于 2026.3.11,则您会受到影响。您可以在 OpenClaw 文档或管理界面中验证版本。
立即将受影响的系统从网络隔离。进行全面的安全审计,并考虑从干净的备份恢复。
目前没有专门用于检测此漏洞的工具。但是,监控系统日志以查找可疑活动,例如执行意外命令,可以帮助识别潜在攻击。
您可以在 OpenClaw 文档和 National Vulnerability Database (NVD) 等漏洞数据库中找到更多信息。
CVSS 向量