CVE-2026-32987 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:设备配对时的**引导代码可重放**。 🔥 **后果**:攻击者无需审批即可多次验证有效代码,直接**提升权限**至 `operator.admin`。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-294(**重放攻击**)。 📍 **缺陷点**:配对验证流程缺乏**一次性校验**或**时间戳/Nonce**机制,导致旧代码可重复使用。
Q3影响谁?(版本/组件)
📦 **产品**:OpenClaw(智能人工助理)。 📅 **版本**:**2026.3.13 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:从待处理配对直接升至 **`operator.admin`**(最高管理权限)。 💾 **数据**:CVSS 评分 **H/H/H**,意味着机密性、完整性、可用性均面临**高危**风险。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:**极低**。 🔓 **条件**:无需认证(PR:N)、无需用户交互(UI:N)、网络远程利用(AV:N)、攻击复杂度低(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:目前 **无公开 PoC**(pocs 为空)。 👀 **状态**:暂无在野利用报告,但漏洞原理简单,利用难度低。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 OpenClaw 版本是否 **< 2026.3.13**。 🛠️ **扫描**:关注设备配对日志,检测是否有**重复使用**相同的引导设置代码进行多次验证。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:**已修复**。 📝 **版本**:升级至 **2026.3.13** 或更高版本。 🔗 **参考**:GitHub Advisory GHSA-63f5-hhc7-cx6p。
Q9没补丁咋办?(临时规避)
⏳ **临时规避**:若无法立即升级,建议**限制配对窗口期**,强制要求**人工实时审批**,并监控配对请求频率,阻断重复代码尝试。
Q10急不急?(优先级建议)
🚨 **优先级**:**紧急**。 📉 **CVSS**:**9.8**(Critical)。 💡 **建议**:立即升级,防止管理员权限被窃取,避免设备被完全控制。