关键漏洞信息 漏洞标题 Cross-Site Request Forgery (CSRF) through loopback browser mutation endpoints 漏洞严重性 严重等级: High CVSS v3 分数: 7.1 / 10 影响版本 clawdbot: =2026.2.14 openclaw: >=2026.2.14 漏洞描述 概述: 针对本地主机的突变路由接受跨源浏览器请求,未进行明确的 Origin/Referer 验证。绑定到循环接口减少了远程暴露风险,但无法防止来自恶意来源的浏览器发起请求。 影响: 恶意网站可以在受害者本地的 OpenClaw 浏览器控制平面触发未授权的状态变化(如打开标签页、启动/停止浏览器、更改存储/cookies),如果浏览器控制服务在受害者的浏览器上下文中可通过循环接口访问。 详细: 浏览器控制服务器绑定到循环接口,但暴露了没有 CSRF 风格保护的突变 HTTP 端点。浏览器可能向循环接口地址发送跨源请求;如果没有明确的验证,状态变化操作可能会从非循环接口的 Origin/Referer 触发。 修复措施 当请求表明存在非循环接口 Origin/Referer(或 Sec-Fetch-Site: cross-site)时,拒绝突变 HTTP 方法(POST/PUT/PATCH/DELETE)。 修复提交 openclaw/openclaw: b566b09 应对措施 / 减缓措施 启用浏览器控制身份验证(令牌/密码)并避免在禁用身份验证的情况下运行。 升级到包含修复程序的版本。 致谢 报告者: @vincentkoc