目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-28459— OpenClaw 安全漏洞

CVSS 7.1 · High EPSS 0.05% · P16
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-28459の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw < 2026.2.12 - Arbitrary File Write via Untrusted sessionFile Path
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw versions prior to 2026.2.12 fail to validate the sessionFile path parameter, allowing authenticated gateway clients to write transcript data to arbitrary locations on the host filesystem. Attackers can supply a sessionFile path outside the sessions directory to create files and append data repeatedly, potentially causing configuration corruption or denial of service.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
文件名或路径的外部可控制
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是openclaw开源的一个智能人工助理。 OpenClaw 2026.2.12之前版本存在安全漏洞,该漏洞源于未验证sessionFile路径参数,可能导致经过身份验证的网关客户端在主机文件系统任意位置写入数据。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 0 ~ 2026.2.12 -

II. CVE-2026-28459の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-28459のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-03-05 · 46 CVEs total

CVE-2026-284669.9 CRITICALOpenClaw < 2026.2.14 - Remote Code Execution via Node Invoke Approval Bypass
CVE-2026-284709.8 CRITICALOpenClaw < 2026.2.2 - Exec Allowlist Bypass via Command Substitution in Double Quotes
CVE-2026-283919.8 CRITICALOpenClaw < 2026.2.2 - Command Injection via cmd.exe Parsing Bypass in Allowlist Enforcemen
CVE-2026-284749.8 CRITICALOpenClaw Nextcloud Talk < 2026.2.6 - Allowlist Bypass via actor.name Display Name Spoofing
CVE-2026-284469.4 CRITICALOpenClaw < 2026.2.1 - Inbound Allowlist Policy Bypass in voice-call Extension via Empty Ca
CVE-2026-296108.8 HIGHOpenClaw < 2026.2.14 - Command Hijacking via Unsafe PATH Handling
CVE-2026-284858.4 HIGHOpenClaw 2026.1.5 < 2026.2.12 - Missing Authentication in Browser Control HTTP Endpoints
CVE-2026-284638.4 HIGHOpenClaw < 2026.2.14 - Arbitrary File Read via Shell Expansion in Safe Bins Allowlist
CVE-2026-284768.3 HIGHOpenClaw < 2026.2.14 - Server-Side Request Forgery in Tlon Extension Authentication
CVE-2026-284518.3 HIGHOpenClaw < 2026.2.14 - SSRF via Feishu Extension Media Fetching
CVE-2026-284478.1 HIGHOpenClaw 2026.1.29-beta.1 < 2026.2.1 - Path Traversal in Plugin Installation via Package N
CVE-2026-284588.1 HIGHOpenClaw 2026.1.20 < 2026.2.1 - Missing Authentication in Browser Relay /cdp WebSocket End
CVE-2026-284728.1 HIGHOpenClaw < 2026.2.2 - Device Identity Check Bypass in Gateway WebSocket Connect Handshake
CVE-2026-284738.1 HIGHOpenClaw < 2026.2.2 - Authorization Bypass via /approve Chat Command
CVE-2026-283937.7 HIGHOpenClaw 2.0.0-beta3 < 2026.2.14 - Arbitrary JavaScript Module Loading via Hook Transform
CVE-2026-284687.7 HIGHOpenClaw 2026.1.29-beta.1 < 2026.2.14 - Authentication Bypass in Sandbox Browser Bridge Se
CVE-2026-284787.5 HIGHOpenClaw < 2026.2.13 - Denial of Service via Unbounded Webhook Request Body Buffering
CVE-2026-283927.5 HIGHOpenClaw < 2026.2.14 - Privilege Escalation in Slack Slash Command Handler via Direct Mess
CVE-2026-284797.5 HIGHOpenClaw < 2026.2.15 - Cache Poisoning via Deprecated SHA-1 Hash in Sandbox Configuration
CVE-2026-296117.5 HIGHOpenClaw < 2026.2.14 - Local File Inclusion via mediaPath Parameter in BlueBubbles Media H

Showing 20 of 46 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-73

V. CVE-2026-28459へのコメント

まだコメントはありません

コメントを残す