事件经过
CVE-2026-53860(CVSS 4.2 MEDIUM)于 2026-06-16 发布。OpenClaw 2026.5.7 之前的版本在其 BlueBubbles 集成中包含发送者策略绕过,其中参与者可以通过对话元数据操纵而非稳定发送者身份验证来匹配允许列表条目。
影响分析
继续 OpenClaw 消息传递集成中可变身份策略绕过的模式。影响半径狭窄(BlueBubbles 是一个小众 Apple 消息桥接)和较低 CVSS,但与 Discord 和 Zalo 变体相同的根本设计缺陷。
攻击途径
攻击者影响 BlueBubbles 中的对话级别标识符以匹配允许列表条目,导致 OpenClaw 将代理响应路由到非预期接收者。
受影响系统
OpenClaw < 2026.5.7(BlueBubbles 集成)
缓解措施
升级 OpenClaw 到版本 2026.5.7 或更高版本。公告:https://github.com/openclaw/openclaw/security/advisories/GHSA-8j37-5w68-wj2g