CVE-2026-3690 是 OpenClaw 中的身份验证绕过漏洞,允许远程攻击者绕过身份验证机制。由于画布端点的身份验证函数实现不当,攻击者无需认证即可利用此漏洞,从而可能导致未经授权的访问。该漏洞影响 OpenClaw 2026.2.17–2026.2.17 版本,建议用户尽快更新到已修复的版本。
OpenClaw中的CVE-2026-3690漏洞允许远程攻击者在无需凭据的情况下绕过身份验证。这是由于canvas端点的身份验证函数实现不当造成的。攻击者可以利用此漏洞访问系统,而无需经过正常的身份验证过程,这可能导致对敏感数据进行未经授权的访问或系统配置的篡改。该漏洞的严重程度根据CVSS评分为7.4,表明存在重大风险。目前缺乏补丁进一步加剧了这种情况,需要立即采取预防措施。
CVE-2026-3690通过利用OpenClaw中canvas端点的身份验证逻辑中的漏洞来利用。攻击者无需有效凭据即可访问这些功能。利用可能涉及发送旨在绕过身份验证控制的恶意请求。原始报告(ZDI-CAN-29311)表明,该漏洞存在于身份验证函数实现中,这表明可以通过操作输入参数或执行特定脚本来利用该漏洞。缺少KEV(内核漏洞验证)表明受控环境中对漏洞利用的验证正在进行中,但CVSS严重程度评级表明漏洞利用是可能的。
Organizations utilizing OpenClaw for any purpose, particularly those relying on its authentication mechanisms for access control, are at risk. This includes environments where OpenClaw is exposed to external networks or untrusted users. Legacy configurations or deployments without proper network segmentation are particularly vulnerable.
disclosure
漏洞利用状态
EPSS
0.16% (37% 百分位)
CISA SSVC
CVSS 向量
由于OpenClaw中不存在CVE-2026-3690的补丁,因此缓解措施侧重于补充安全措施。我们强烈建议将受影响的OpenClaw安装隔离在隔离的网络中,以限制漏洞利用的潜在影响。持续监控系统以检测任何可疑活动也至关重要。如果可能,请在发布官方补丁之前暂时禁用canvas功能。随时了解OpenClaw安全更新并及时应用补丁至关重要。实施强大的防火墙和严格的访问规则可以进一步降低风险。
Actualice OpenClaw a la versión corregida. Revise la documentación oficial de OpenClaw o el repositorio de GitHub para obtener instrucciones específicas de actualización. Asegúrese de que la implementación de la autenticación se revise y fortalezca para prevenir futuros bypasses.
漏洞分析和关键警报直接发送到您的邮箱。
这意味着攻击者无需提供有效的用户名和密码即可访问系统或某些功能。
由于没有补丁,请隔离您的系统,监控活动,如果可能,禁用canvas功能。随时了解安全更新。
虽然没有KEV,但CVSS评分7.4表明该漏洞处于活动状态并且可以被利用。
没有补丁发布的预计日期。请查看OpenClaw网站以获取更新。
这是提交给Zero Day Initiative(ZDI)的原始漏洞报告的标识符。