返回列表

OpenClaw:Discord 文本 `/approve` 绕过 `channels.discord.execApprovals.approvers`,允许非审批人解决待处理的执行审批

RCE2026-03-31

影响软件

OpenClaw (npm:openclaw)

CWE

CWE-863: Incorrect Authorization

CVSS

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (Score: 8.8)

受影响版本

<= 2026.3.24

修复版本

>= 2026.3.28

关联产品

OpenClaw (npm:openclaw)

漏洞描述

**漏洞概述**:OpenClaw 的 Discord 扩展模块中,`/approve` 文本命令在解析待处理的主机执行审批时,忽略了配置的审批人白名单限制。 **影响范围**:拥有发送命令权限但不在审批人列表中的用户,可批准待处理的执行任务。 **利用条件**:目标系统处于受影响版本(<= 2026.3.24),且存在待处理的主机执行审批。 **修复建议**:升级 OpenClaw 至 2026.3.28 或更高版本,应用修复提交 `355abe5eba`。 **参考链接**:GitHub Security Advisory (GHSA-98hh-7ghg-x6rq)

补充来源

https://github.com/advisories/GHSA-98hh-7ghg-x6rqhttps://github.com/openclaw/openclaw/commit/355abe5eba28012e6a95b9923a32831fcf870344
查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。