1  info:
 2    name: OpenClaw
 3    cve: CVE-2026-32062
 4    summary: OpenClaw 及 @openclaw/voice-call 未授权 WebSocket DoS 漏洞（流升级前置验证缺失）
 5    details: >-
 6      OpenClaw 2026.2.21-2 至 2026.2.22（不含）版本以及 @openclaw/voice-call 2026.2.21 至
 7      2026.2.22（不含）版本在执行流验证之前接受媒体流 WebSocket 升级请求。这允许未经身份验证的
 8      客户端建立连接而无需完成正确的验证流程，使远程攻击者可以持续保持空闲的预认证套接字，
 9      消耗连接资源，降低合法流的服务可用性。此漏洞可被用于针对 OpenClaw 语音/媒体流服务发起拒绝服务攻击。
10    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
11    severity: HIGH
12    security_advise: 升级 OpenClaw 及 @openclaw/voice-call 至 2026.2.22 或更高版本。
13    references:
14      - https://nvd.nist.gov/vuln/detail/CVE-2026-32062
15  rule: version >= "2026.2.21-2" && version < "2026.2.22"
16  references:
17    - https://nvd.nist.gov/vuln/detail/CVE-2026-32062