CVE-2026-32978 涉及 OpenClaw 中的一个审批完整性漏洞,该漏洞允许攻击者篡改脚本。攻击者可以获得对良性脚本命令的批准,然后在磁盘上重写引用的脚本,并在批准的运行上下文中执行修改后的代码。受影响的版本范围是 0 到 2026.3.11,开发人员已在 2026.3.11 版本中修复了此问题。
CVE-2026-32978 在 openclaw 中允许攻击者在已批准的环境中执行恶意代码。具体来说,node-host 中的 system.run 批准系统在不正确地绑定可变文件操作数时,使用诸如 tsx 或 jiti 之类的脚本运行器。这意味着攻击者可以获得对看似无害的脚本运行器命令的批准,重写磁盘上的引用脚本,然后以已批准的运行上下文执行修改后的代码。在依赖 system.run 来确保脚本完整性的环境中,风险尤其高,因为此安全机制已被破坏。
利用此漏洞需要访问 openclaw 正在运行的系统以及修改磁盘上文件的能力。如果攻击者能够获得对无害脚本运行器的初始批准,则他们可以利用此漏洞。获得批准后,攻击者可以替换原始脚本为恶意版本,该版本随后将使用批准的运行上下文中的权限执行。利用的复杂性取决于系统中的现有安全措施,例如文件权限和访问控制策略。在 system.run 被信任用于执行关键脚本的环境中,此漏洞更为严重。
Organizations heavily reliant on openclaw for Node.js host management, particularly those using system.run for automated scripting and deployments, are at significant risk. Environments with lax file access controls or shared hosting configurations where multiple users can potentially modify script files are especially vulnerable.
• nodejs / supply-chain:
Get-Process -Name openclaw | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*openclaw*'} | Select-Object -ExpandProperty Actions• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='openclaw'" -Newest 10disclosure
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
解决 CVE-2026-32978 的方法是将 openclaw 升级到版本 2026.3.11 或更高版本。此版本修复了文件操作数的绑定错误,确保 system.run 命令中使用的脚本是预期的脚本,并且不能被攻击者修改。强烈建议尽快应用此更新,尤其是在生产环境中。此外,请审查 system.run 批准策略,以确保采用最佳安全实践,并最大限度地减少未经授权的代码执行风险。监控系统日志以查找可疑活动也有助于检测和响应潜在攻击。
将 OpenClaw 更新到 2026.3.11 或更高版本。 此版本通过正确验证所有脚本运行器的可变文件操作数来修复审批绕过漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
openclaw 是一个用于在 Node.js 环境中管理和执行脚本的工具。
检查您正在使用的 openclaw 版本。如果版本早于 2026.3.11,则您会受到影响。
可以使用脚本运行器执行的任何代码(例如,系统命令、文件访问等)。
暂时禁用 system.run 函数或限制脚本运行器使用的文件权限可以减轻风险,但这并不是理想的解决方案。
请参阅 openclaw 的官方文档和相关的安全资源以获取最新信息。
CVSS 向量