1  info:
 2    name: OpenClaw
 3    cve: GHSA-92jp-89mq-4374
 4    summary: OpenClaw 沙箱 noVNC 辅助路由暴露交互式浏览器会话凭据
 5    details: >-
 6      漏洞概述
 7  
 8  
 9      沙箱 noVNC 辅助路由暴露交互式浏览器会话凭据。
10  
11  
12      受影响软件包及版本
13  
14  
15      - 软件包：openclaw
16  
17      - 生态系统：npm
18  
19      - 受影响版本：>= 2026.2.21 < 2026.4.10
20  
21      - 已修复版本：>= 2026.4.10
22  
23  
24      影响
25  
26  
27      沙箱 noVNC 辅助路由可在未通过预期桥接认证的情况下被访问，从而暴露交互式浏览器会话入口面。
28  
29  
30      技术细节
31  
32  
33      修复方案在沙箱 noVNC 辅助路由前增加了桥接认证门控。
34  
35  
36      修复
37  
38  
39      该问题已在 63882 中修复。包含此修复的第一个稳定标签为 v2026.4.10，openclaw@2026.4.14 亦包含此修复。
40  
41  
42      致谢
43  
44  
45      感谢 @zsxsoft 报告此问题，由 @KeenSecurityLab 和 @qclawer 提供资助支持。
46    cvss: ''
47    severity: HIGH
48    security_advise: '将 openclaw 升级至 >= 2026.4.10 或更高版本。该问题已在 #63882 中修复。包含此修复的第一个稳定标签为 v2026.4.10，openclaw@2026.4.14 亦包含此修复。'
49    references:
50    - https://github.com/openclaw/openclaw/security/advisories/GHSA-92jp-89mq-4374
51  rule: version >= "2026.2.21" && version < "2026.4.10"
52  references:
53  - https://github.com/openclaw/openclaw/security/advisories/GHSA-92jp-89mq-4374