OpenClaw:网关插件子代理回退 deleteSession 使用合成 operator.admin
RCE2026-03-29
影响软件
openclaw (npm)
CWE
CWE-266: Incorrect Privilege Assignment; CWE-863: Incorrect Authorization
受影响版本
<= 2026.3.24
修复版本
>= 2026.3.25
关联产品
漏洞描述
## 漏洞概述 OpenClaw 网关插件的子代理回退机制存在权限分配错误。当请求上下文中不存在有效的 client 对象时,`deleteSession` 方法会错误地分发带有合成 `operator.admin` 运行时范围的 `sessions.delete` 调用,导致权限提升。 ## 影响范围 - 软件:openclaw (npm) - 受影响版本:<= 2026.3.24 ## 利用条件 - 触发 Gateway Plugin Subagent Fallback 场景 - 当前请求上下文中无有效的 request-scoped client ## 修复建议 升级 openclaw 包至修复版本(>= 2026.3.25)。 ## 参考链接 - https://github.com/advisories/GHSA-h4jx-hjr3-fhgc
补充来源
当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。