1  info:
 2    name: OpenClaw
 3    cve: GHSA-89r3-6x4j-v7wf
 4    summary: OpenClaw 语音通话 Plivo 重放攻击在拒绝重放前篡改进程内回调来源
 5    details: >-
 6      漏洞概述
 7  
 8      语音通话 Plivo 重放攻击在拒绝重放前篡改进程内回调来源
 9  
10  
11      维护者现状评估
12  
13      - 状态：影响范围受限（narrow）
14  
15      - 标准化严重等级：低危
16  
17      - 评估说明：v2026.3.28 版本在拒绝重放请求之前仍可能篡改 Plivo 回调来源，但利用该漏洞需要捕获有效的活跃通话回调，因此中危评级有所高估。
18  
19  
20      受影响软件包及版本
21  
22      - 软件包：openclaw（npm）
23  
24      - npm 最新发布版本：2026.3.31
25  
26      - 受影响版本范围：<=2026.3.28
27  
28      - 已修复版本：>= 2026.3.31
29  
30      - 包含修复的首个稳定标签：v2026.3.31
31    cvss: ''
32    severity: LOW
33    security_advise: 将 openclaw 升级至 >= 2026.3.31 或更高版本。相关提交 - efe9183f9d2fd5e01c8068fa01f4a07a58a63c0b — 2026-03-31T19:50:35+09:00
34    references:
35    - https://github.com/openclaw/openclaw/security/advisories/GHSA-89r3-6x4j-v7wf
36  rule: version <= "2026.3.28"
37  references:
38  - https://github.com/openclaw/openclaw/security/advisories/GHSA-89r3-6x4j-v7wf