事件经过
CVE-2026-53857(CVSS 8.1 HIGH)于 2026-06-16 发布。OpenClaw 2026.5.3 之前的版本包含策略执行漏洞,其中具有可变显示元数据的 Zalo 联系人可以通过显示名称更改来匹配 allowFrom 策略条目,允许攻击者接收代理响应,该响应本意是为其他 Zalo 身份。
影响分析
与 CVE-2026-53849 相同类别的可变身份策略绕过,但影响 Zalo 消息传递集成。无需除显示名称更改外的任何技术利用,就能从代理管道启用未授权的提示注入和数据泄露。
攻击途径
OpenClaw 的 Zalo 联系人 allowFrom 策略在可变显示元数据而非稳定发送者身份上匹配。攻击者将其 Zalo 显示名称更改为与策略条目匹配,导致 OpenClaw 将代理响应路由到攻击者,该响应本意是为不同身份。
受影响系统
OpenClaw < 2026.5.3
缓解措施
升级 OpenClaw 到版本 2026.5.3 或更高版本。公告:https://github.com/openclaw/openclaw/security/advisories/GHSA-8c59-hr4w-qg69