漏洞  ·  2026-07-18

OpenClaw钩子allowedAgentIds绕过经由空白代理ID(CVE-2026-62219)

漏洞Medium 影响GlobalCVE-2026-62219
OpenClaw 2026.2.12至2026.5.26之前的版本在钩子allowedAgentIds验证中包含授权绕过漏洞。低信任级别的调用者或配置的输入路径可通过提交空白代理ID来绕过代理ID限制,允许应该需要更强授权或策略检查的操作。NVD发布于2026-07-16/17,CVSS评分7.1(高,CVSS v3.1)。
基于代理ID的访问限制是多代理OpenClaw部署中的基础控制,用于隔离哪些代理可以触发哪些钩子/操作;一个微不足道的空值绕过会破坏该隔离,并可能让未授权或低信任级别的代理触发仅供特定授权代理身份使用的钩子门控操作。
向钩子验证逻辑提交空白/空的agentId值以绕过allowedAgentIds限制检查
OpenClaw 2026.2.12至2026.5.26之前
升级到OpenClaw 2026.5.26或更高版本;参见GitHub安全公告GHSA-724r-v4wf-mqc5
GitHub Security Advisory GHSA-724r-v4wf-mqc5NVD CVE-2026-62219
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →