1  info:
 2    name: OpenClaw
 3    cve: GHSA-xmxx-7p24-h892
 4    summary: OpenClaw Gateway HTTP 端点在 SecretRef 轮换后重新解析 Bearer 认证配置
 5    details: >-
 6      漏洞摘要
 7  
 8  
 9      Gateway HTTP 及 WebSocket 处理器在服务器启动时捕获并缓存了已解析的 Bearer 认证配置。在 SecretRef 轮换后，
10      已运行的 Gateway 可能在重启前持续接受旧的 Bearer 令牌。
11  
12  
13      影响
14  
15  
16      本应通过 SecretRef 轮换吊销的 Bearer 令牌可能在进程生命周期内在 Gateway HTTP 及升级接口上持续有效。
17      由于旧令牌在运维人员认为其已被轮换失效后仍可继续授权 Gateway 请求，严重等级为高危（High）。
18  
19  
20      受影响版本
21  
22  
23      - 受影响版本：< 2026.4.15
24  
25      - 已修复版本：2026.4.15
26  
27  
28      修复方案
29  
30  
31      OpenClaw 2026.4.15 改为在每次请求和每次升级时从运行时密钥快照中动态解析活跃的 Gateway 认证配置，
32      而非使用启动时缓存的过期值。
33  
34  
35      已在 v2026.4.15 中验证：
36  
37  
38      - src/gateway/server.impl.ts 暴露了基于当前运行时密钥快照的 getResolvedAuth() 方法。
39  
40      - src/gateway/server-http.ts 在每次 HTTP 请求和 WebSocket 升级时调用 getResolvedAuth() 执行认证检查。
41  
42      - src/gateway/server-http.probe.test.ts 验证了 /ready 接口在轮换后重新解析 Bearer 认证配置并拒绝旧令牌的行为。
43  
44  
45      v2026.4.15 中包含而 v2026.4.14 中缺失的修复提交：
46  
47  
48      - acd4e0a32f12e1ad85f3130f63b42443ce90f094（通过 PR 66651）
49  
50  
51      感谢 @zsxsoft、Keen Security Lab 和 @qclawer 报告此问题。
52    cvss: ''
53    severity: HIGH
54    security_advise: "升级 openclaw 至 2026.4.15 或更高版本。OpenClaw 2026.4.15 改为在每次请求和每次升级时从运行时密钥快照中动态解析活跃的 Gateway\
55      \ 认证配置，而非使用启动时缓存的过期值。已在 v2026.4.15 中验证：- src/gateway/server.impl.ts 暴露了基于当前运行时密钥快照的 getResolvedAuth()\
56      \ 方法。"
57    references:
58    - https://github.com/openclaw/openclaw/security/advisories/GHSA-xmxx-7p24-h892
59  rule: version < "2026.4.15"
60  references:
61  - https://github.com/openclaw/openclaw/security/advisories/GHSA-xmxx-7p24-h892