漏洞风险提示（20260528）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 OpenClaw授权问题漏洞（CVE-2026-8305）
一、漏洞描述：
        
        OpenClaw是OpenClaw开源的一个智能人工助理。
        OpenClaw存在授权问题漏洞，该漏洞源于bluebubbles Webhook组件中extensions/bluebubbles/src/monitor.ts文件的handleBlueBubblesWebhookRequest函数，攻击者可利用该漏洞导致身份验证不当
二、风险等级：
        高
三、影响范围：
        OpenClaw OpenClaw 2026.1.0-2026.1.24
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/openclaw/openclaw/pull/13787

---

2 Nx Console 供应链投毒漏洞（CVE-2026-48027）
一、漏洞描述：
        
         Nx Console 是 VS Code 平台下用于 Nx 项目管理的开源扩展。
        该漏洞为供应链投毒引发的恶意代码植入问题，恶意版本内置窃取敏感信息的恶意逻辑，运行后会下载执行恶意载荷，窃取本地 Git、npm、SSH、云服务密钥、浏览器密码等各类凭据并向外传输，攻击者可借此获取用户敏感数据、接管相关业务账户。
二、风险等级：
        高
三、影响范围：
        Nx Console =18.95.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/nrwl/nx-conso ... GHSA-c9j4-9m59-847w

---

3 OpenClaw安全绕过漏洞（CVE-2026-45006）
一、漏洞描述：
        
        OpenClaw是OpenClaw开源的一个智能人工助理。
        OpenClaw存在安全绕过漏洞，该漏洞源于config.apply和config.patch操作未能正确验证访问权限，允许被攻破的模型通过绕过不完整的黑名单保护写入不安全配置更改，攻击者可利用该漏洞持久化恶意配置修改，影响命令执行、网络行为、凭据和操作员策略。。
二、风险等级：
        高
三、影响范围：
        OpenClaw OpenClaw <2026.4.23
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/openclaw/open ... 96b43c61ae3d01bb0ec

---

4 OpenClaw安全绕过漏洞（CVE-2026-45005）
一、漏洞描述：
        
        OpenClaw是OpenClaw开源的一个智能人工助理。
        OpenClaw存在安全绕过漏洞，该漏洞源于未能正确更新由SecretRef支持的webhook路由密钥缓存，导致轮换和重新加载后过期密钥仍保持有效，攻击者可利用该漏洞使用先前有效的webhook路由密钥继续验证请求并调用已配置的webhook任务流程。
二、风险等级：
        高
三、影响范围：
        OpenClaw OpenClaw <2026.4.23
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/openclaw/open ... d93f7aab9c2f2de66fa

---