(CVE-2026-44112)(CVSS评分:9.6/6.3)- OpenShell 托管沙箱后端存在"检查时间/使用时间"(TOCTOU)竞争条件漏洞,允许攻击者绕过沙箱限制,将数据写入预设挂载根目录之外的位置。
(CVE-2026-44113)(CVSS评分:7.7/6.3)- OpenShell 中的 TOCTOU 竞争条件漏洞,攻击者可借此绕过沙箱限制读取预设挂载根目录之外的文件。
(CVE-2026-44115)(CVSS评分:8.8)- 输入验证允许列表不完整漏洞,攻击者通过在 heredoc 主体中嵌入 shell 扩展标记来绕过允许列表验证,从而在运行时执行未授权命令。
(CVE-2026-44118)(CVSS评分:7.8)- 访问控制不当漏洞,非所有者环回客户端可冒充所有者提升权限,进而控制网关配置、cron 任务调度和执行环境管理。
漏洞利用影响
Cyera 指出,成功利用(CVE-2026-44112)可使攻击者篡改配置、植入后门并持久控制受感染主机,而(CVE-2026-44113)可被武器化用于读取系统文件、凭据和内部构件。
漏洞利用链包含四个阶段,如下:
通过恶意插件、提示注入或已入侵的外部输入在 OpenShell 沙箱内执行代码
利用(CVE-2026-44113)和(CVE-2026-44115)窃取凭据、密钥和敏感文件
利用(CVE-2026-44118)获取 Agent 运行时的所有者级控制权
使用(CVE-2026-44112)植入后门或修改配置实现持久化
漏洞根源与修复
据网络安全公司分析,(CVE-2026-44118)的根本原因在于 OpenClaw 直接信任名为 senderIsOwner 的客户端控制所有权标志,该标志用于判断调用者是否有权使用所有者专属工具,但系统未将其与认证会话进行验证比对。
OpenClaw 在漏洞公告中详细说明了修复方案:"MCP 环回运行时现已分别颁发所有者与非所有者持有令牌,senderIsOwner 将完全根据请求认证所使用的令牌类型来判定。系统不再生成或信任可伪造的 sender-owner 标头。"
安全建议
经过负责任的披露流程,所有四个漏洞已在 OpenClaw 2026.4.22 版本中修复。安全研究员 Vladimir Tokarev 因发现并报告这些漏洞获得致谢。建议用户立即升级至最新版本以防范潜在威胁。
Cyera 强调:"攻击者通过武器化 Agent 自身权限,逐步实现数据访问、权限提升和持久化控制——将 Agent 变成其在环境内的操作工具。每个步骤在传统控制措施看来都像是正常 Agent 行为,这扩大了爆炸半径,使检测难度大幅增加。"
