CVE-2026-33573 描述了 OpenClaw 中的一个授权绕过漏洞。该漏洞存在于网关代理 RPC 中,允许具有 operator.write 权限的已认证操作员覆盖工作区边界。远程操作员可以逃避配置的工作区边界,并从任何可访问的目录执行任意文件和执行操作。受影响版本范围为 0 到 2026.3.11。该问题已在 2026.3.11 版本中得到修复,建议用户尽快升级。
OpenClaw 中的 CVE-2026-33573 具有 8.8 的 CVSS 评分,对用户构成重大风险。它允许具有 'operator.write' 权限的经过身份验证的操作员绕过工作区边界。攻击者可以通过操纵网关代理中的 RPC 调用中的 'spawnedBy' 和 'workspaceDir' 值,从任何进程可访问的目录执行任意文件和 exec 操作。这可能导致恶意代码执行、敏感数据盗窃,甚至导致系统完全受损。此漏洞的严重性在于,有限权限的操作员可以轻松地升级其权限并破坏 OpenClaw 环境的安全性。
此漏洞是通过操纵网关代理中的 RPC 调用中的 'spawnedBy' 和 'workspaceDir' 参数来利用的。具有必要权限的经过身份验证的操作员可以发送恶意请求,指示系统在配置的工作区外部执行命令或访问文件。这些参数缺乏适当的验证允许攻击者绕过安全限制。利用成功取决于攻击者获取有效凭据并未被检测到即可发送恶意请求的能力。利用的复杂性相对较低,增加了被恶意行为者使用的风险。
Organizations utilizing OpenClaw for automated workflows, particularly those with loosely configured operator permissions or shared hosting environments, are at heightened risk. Legacy OpenClaw deployments and configurations that deviate from best practices are also vulnerable.
disclosure
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
CVE-2026-33573 的主要缓解措施是将 OpenClaw 升级到 2026.3.11 或更高版本。此版本包含解决授权绕过漏洞的修复程序。此外,建议审查和加强访问控制策略,以确保仅向具有正当需求的受信任用户授予 'operator.write' 权限。监控网关代理活动是否存在可疑模式也有助于检测和防止潜在攻击。实施纵深防御策略,包括防火墙和入侵检测系统,可以提供额外的保护层。
将 OpenClaw 更新到 2026.3.11 或更高版本。此版本修复了网关代理 RPC 中的授权绕过漏洞,阻止操作员绕过工作区限制。
漏洞分析和关键警报直接发送到您的邮箱。
OpenClaw 是一个用于运行和管理高性能计算工作负载的平台。
CVSS 评分 8.8 表示高危漏洞,存在被利用的重大风险。
如果无法立即升级,请考虑限制对 'operator.write' 权限的访问,并监控网关代理活动。
是的,2026.3.11 之前的版本都存在漏洞。
请参阅 OpenClaw 的官方文档和行业安全资源以获取更多详细信息。
CVSS 向量