kaleth4/CVE-2026-28363
GitHub: kaleth4/CVE-2026-28363
CVE-2026-28363 是 OpenClaw 中的一个严重远程代码执行漏洞,由于无法识别 sort 命令的缩写选项导致 allowlist 验证被绕过。
Stars: 0 | Forks: 0
# 🔴 CVE-2026-28363 — 安全公告
```
██████╗██╗ ██╗███████╗ ██████╗ ██████╗ ██████╗ ██████╗
██╔════╝██║ ██║██╔════╝ ╚════██╗██╔═████╗╚════██╗ ██╔════╝
██║ ██║ ██║█████╗ █████╔╝██║██╔██║ █████╔╝ ███████╗
██║ ╚██╗ ██╔╝██╔══╝ ██╔═══╝ ████╔╝██║██╔═══╝ ██╔═══██╗
╚██████╗ ╚████╔╝ ███████╗ ███████╗╚██████╔╝███████╗ ╚██████╔╝
╚═════╝ ╚═══╝ ╚══════╝ ╚══════╝ ╚═════╝ ╚══════╝ ╚═════╝
```
**CVE-2026-28363 · OpenClaw · CVSS 9.9 严重**
作者:https://cxsecurity.com/issue/WLB-2026030004
## 📋 执行摘要
| 字段 | 值 |
|---|---|
| **CVE ID** | CVE-2026-28363 |
| **GHSA** | GHSA-3c6h-g97w-fg78 |
| **产品** | OpenClaw (Node.js) |
| **受影响版本** | 所有 `2026.2.23` 之前的版本 |
| **已修复版本** | `2026.2.23` ✅ |
| **类型** | 远程代码执行 (RCE) |
| **CWE** | CWE-184 — 不完整的禁止输入列表 |
| **CVSS 评分** | **9.9 / 10 — 严重** |
## 🎯 漏洞描述
**CVE-2026-28363** 漏洞位于 OpenClaw 的 `tools.exec.safeBins` 验证逻辑中。具体来说,该缺陷在使用 *allowlist* 模式下的 `sort` 命令时触发。
### 漏洞原理是什么?
```
ATACANTE SISTEMA OPENCLAW SISTEMA OBJETIVO
│ │ │
│ sort --compress-prog=... │ │
│──────────────────────────────>│ │
│ │ ❌ Validación fallida │
│ │ (no reconoce abreviatura) │
│ │──────────────────────────────>│
│ │ │ ⚠️ RCE
```
该系统**无法识别** GNU 长选项的缩写形式。例如:
- ✅ `--compress-program` → 被识别并正确阻止
- ❌ `--compress-prog` → **无法识别**,绕过验证
这种差异允许攻击者在系统本应保护的路径中执行任意代码,完全绕过 allowlist 机制
## 📊 CVSS 3.1 指标
```
Attack Vector (AV) ████████████████████ NETWORK
Attack Complexity (AC) ████░░░░░░░░░░░░░░░░ LOW
Privileges Required ████░░░░░░░░░░░░░░░░ NONE
User Interaction (UI) ████░░░░░░░░░░░░░░░░ NONE
Scope (S) ████████████████████ CHANGED
Confidentiality (C) ████████████████████ HIGH
Integrity (I) ████████████████████ HIGH
Availability (A) ████████████████████ HIGH
PUNTUACIÓN FINAL: 9.9 ████████████████████ CRÍTICA
```
| 向量 | 值 | 描述 |
|--------|-------|-------------|
| **AV** | Network | 可通过网络远程利用 |
| **AC** | Low | 攻击复杂度低 |
| **PR** | None | 无需预先获取权限 |
| **UI** | None | 无需用户交互 |
| **S** | Changed | 影响超出脆弱组件范围 |
| **C/I/A** | High | 对机密性、完整性和可用性造成完全影响 |
## 🛡️ 解决方案和缓解措施
### ✅ 主要解决方案(推荐)
**立即更新到 OpenClaw `2026.2.23` 或更高版本。**
```
# 使用 npm
npm update openclaw
# 验证已安装版本
npm list openclaw
# 更新到特定版本
npm install openclaw@2026.2.23
```
### 🔧 临时缓解措施
如果无法立即更新,请按优先级顺序应用以下措施:
#### 1. 🔍 可疑事件监控
监控使用缩写选项的 `sort` 命令调用:
```
# 审计规则示例 (auditd)
auditctl -w /usr/bin/sort -p x -k openclaw_sort_watch
# 实时查看日志
ausearch -k openclaw_sort_watch -ts recent
```
#### 2. 🔒 主机级别访问控制
**AppArmor** — OpenClaw 限制性配置文件:
```
/usr/bin/sort {
# Denegar ejecución con --compress-prog*
deny /usr/bin/* x,
}
```
**SELinux** — confinement 策略:
```
# 为 OpenClaw 生成 confinement 策略
ausearch -m avc -ts recent | audit2allow -M openclaw_policy
semodule -i openclaw_policy.pp
```
#### 3. 📡 OpenClaw 安全监控器
使用官方 **OpenClaw Security Monitor** 工具实时检测利用尝试:
```
# 以检测模式启动监控
openclaw-monitor --watch --alert-level critical --cve CVE-2026-28363
```
## 📦 受影响版本
| 版本 | 状态 | 所需操作 |
|---------|--------|-----------------|
| `< 2026.2.23` | 🔴 易受攻击 | **紧急更新** |
| `>= 2026.2.23` | 🟢 已修复 | 无需操作 |
## 🔗 参考资料和资源
| 资源 | 链接 |
|---------|--------|
| 📄 NIST NVD | [nvd.nist.gov — CVE-2026-28363](https://nvd.nist.gov/vuln/detail/CVE-2026-28363) |
| 🐙 GitHub Advisory | [GHSA-3c6h-g97w-fg78](https://github.com/advisories/GHSA-3c6h-g97w-fg78) |
| 🔬 OpenClaw CVE 追踪器 | OpenClaw 官方 CVE 追踪仓库 |
| 📊 CVSS 计算器 | [CVSS 3.1 计算器 — FIRST](https://www.first.org/cvss/calculator/3.1) |
## 🕒 时间线
```
Descubrimiento ──────────────── Divulgación ──────────────── Parche
│ │ │
[Investigador] [NIST / GHSA] [v2026.2.23]
│ │ │
└───────────────────────────────┴────────────────────────┘
Proceso de divulgación responsable
```
## ⚖️ 法律和道德声明
**保持系统更新。安全是每个人的责任。** 🔐
*作为负责任的安全披露的一部分生成*
标签:0day, CISA项目, CVE, CVSS 9.9, CWE-184, GNU通用公共许可证, Go语言工具, MITM代理, Node.js, OpenClaw, RCE, Web安全, 代码执行, 命令注入, 安全公告, 安全漏洞, 数字签名, 服务器端漏洞, 编程工具, 网络安全, 蓝队分析, 远程代码执行, 隐私保护, 高危漏洞