CRITICALCVE-2026-32973CVSS 9.8

CVE-2026-32973 OpenClaw 绕过 exec allowlist 漏洞

平台

python

组件

openclaw

修复版本

2026.3.11

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-32973 涉及 OpenClaw 中的一个 exec allowlist 绕过漏洞，攻击者可以利用该漏洞执行未授权命令。受影响的版本为 0–2026.3.11。该漏洞的 CVSS 评分为 9.8 (CRITICAL)。修复版本为 2026.3.11，建议尽快更新。

影响与攻击场景

OpenClaw中的CVE-2026-32973漏洞，CVSS评分高达9.8，代表着一个关键风险。这是由于matchesExecAllowlistPattern函数中的缺陷导致执行允许列表（exec allowlist）被绕过。具体来说，该函数将模式转换为小写，并以一种导致POSIX路径过度匹配的方式使用glob匹配。攻击者可以利用'?'通配符以非预期的方式匹配路径段，从而执行未授权的命令或访问未授权的文件，从而危及系统安全。此问题的严重性在于易于利用以及对系统机密性、完整性和可用性的潜在影响。

利用背景

此漏洞通过利用OpenClaw如何解释文件路径中的通配符来利用。'?'通配符允许攻击者匹配路径段中的任何字符。由于不正确的规范化（转换为小写）和glob匹配逻辑，攻击者可以构造一个路径，该路径与预期的执行权限模式匹配，但实际上指向不同的文件或目录，从而启用未经授权的命令执行。当OpenClaw用于执行用户提供的代码时，此漏洞尤其令人担忧，因为攻击者可能会注入恶意代码，该代码将以OpenClaw的权限执行。

哪些人处于风险中翻译中…

Organizations deploying OpenClaw for any purpose, particularly those using it in environments with untrusted input or where command execution is a core functionality, are at risk. This includes users relying on OpenClaw for data processing, scripting, or automation tasks where user-provided data influences command execution paths.

检测步骤翻译中…

• python / server:

import os
import subprocess

def check_claw_version():
    try:
        result = subprocess.run(['openclaw', '--version'], capture_output=True, text=True, check=True)
        version = result.stdout.strip()
        if version and float(version.split('.')[2]) < 11:
            print(f"OpenClaw version is vulnerable: {version}")
        else:
            print(f"OpenClaw version is patched: {version}")
    except FileNotFoundError:
        print("OpenClaw not found.")
    except subprocess.CalledProcessError as e:
        print(f"Error checking version: {e}")

check_claw_version()

• generic web: Examine OpenClaw logs for unusual command execution attempts, especially those containing wildcard characters or unexpected path segments.

攻击时间线

2026-03-29Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.07% (23% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

受影响的软件

组件openclaw

供应商OpenClaw

影响范围修复版本

0 – 2026.3.112026.3.11

弱点分类 (CWE)

CWE-625

时间线

已保留2026-03-17
发布日期2026-03-29
修改日期2026-03-30
EPSS 更新日期2026-04-06

披露后-18天发布补丁

缓解措施和替代方案

减轻CVE-2026-32973的解决方案是将OpenClaw更新到版本2026.3.11或更高版本。此版本修复了matchesExecAllowlistPattern处理匹配模式的方式，从而防止路径过度匹配。在应用更新时，建议实施额外的安全措施，例如将执行权限限制为必要的用户和进程，并监控系统是否存在可疑活动。及时应用此更新对于保护OpenClaw系统免受潜在攻击至关重要。未能更新会使系统容易受到攻击。

修复方法

将 OpenClaw 更新到 2026.3.11 或更高版本。这修复了由于在 POSIX 路径上使用通配符匹配的不正确模式规范化而导致的执行允许列表绕过漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-32973 是什么 — OpenClaw 中的漏洞？

OpenClaw是一个用于计算机角色扮演游戏（CRPG）的开源模拟引擎。

OpenClaw 中的 CVE-2026-32973 是否会影响我？

CVSS评分9.8表明这是一个关键漏洞，易于利用，并且可能对系统安全产生重大影响。

如何修复 OpenClaw 中的 CVE-2026-32973？

在此期间，限制执行权限并监控系统是否存在可疑活动。

CVE-2026-32973 是否正在被积极利用？

升级到版本2026.3.11或更高版本是推荐的解决方案。没有可行的解决方法。

在哪里可以找到 OpenClaw 关于 CVE-2026-32973 的官方安全通告？

请参阅OpenClaw的官方文档以及与CVE-2026-32973相关的安全公告。