1  info:
 2    name: OpenClaw
 3    cve: GHSA-mhr7-2xmv-4c4q
 4    summary: OpenClaw HTTP 运营商端点在可信代理模式下缺乏浏览器来源（Origin）校验
 5    details: >-
 6      漏洞概述
 7  
 8      HTTP 运营商端点在可信代理（trusted-proxy）模式下缺乏浏览器来源（Origin）校验
 9  
10  
11      维护者评估
12  
13      - 状态：范围已收窄
14  
15      - 标准化严重等级：中危
16  
17      - 评估说明：这是已发布标签中真实存在的可信代理 HTTP CSRF 或浏览器来源校验缺失问题，但非严重漏洞，因为其利用条件依赖于携带身份信息的可信代理浏览器部署场景，而非共享密钥 HTTP 运营商模型。
18  
19  
20      受影响软件包及版本
21  
22      - 软件包：openclaw（npm）
23  
24      - npm 最新发布版本：2026.3.31
25  
26      - 受影响版本范围：<=2026.3.28
27  
28      - 已修复版本：>= 2026.3.31
29  
30      - 首个包含修复的稳定标签：v2026.3.31
31    cvss: ''
32    severity: MEDIUM
33    security_advise: 升级 openclaw 至 >= 2026.3.31 或更高版本。相关提交：6b3f99a11f4d070fa5ed2533abbb3d7329ea4f0d — 2026-03-31T19:49:26+09:00
34    references:
35    - https://github.com/openclaw/openclaw/security/advisories/GHSA-mhr7-2xmv-4c4q
36  rule: version <= "2026.3.28"
37  references:
38  - https://github.com/openclaw/openclaw/security/advisories/GHSA-mhr7-2xmv-4c4q