目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-31998— OpenClaw 安全漏洞

CVSS 8.6 · High EPSS 0.07% · P21
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-31998の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw 2026.2.22 < 2026.2.24 - Authorization Bypass in Synology Chat Plugin via Empty allowedUserIds
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw versions 2026.2.22 and 2026.2.23 contain an authorization bypass vulnerability in the synology-chat channel plugin where dmPolicy set to allowlist with empty allowedUserIds fails open. Attackers with Synology sender access can bypass authorization checks and trigger unauthorized agent dispatch and downstream tool actions.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
授权机制不正确
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是OpenClaw开源的一个智能人工助理。 OpenClaw 2026.2.22版本和2026.2.23版本存在安全漏洞,该漏洞源于synology-chat通道插件中的授权绕过问题,可能导致攻击者绕过授权检查并触发未经授权的代理调度和下游工具操作。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 2026.2.22 ~ 2026.2.24 -

II. CVE-2026-31998の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-31998のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-03-19 · 60 CVEs total

CVE-2026-320389.8 CRITICALOpenClaw - Sandbox Network Isolation Bypass via docker.network=container Parameter
CVE-2026-320138.8 HIGHOpenClaw < 2026.2.25 - Symlink Traversal in agents.files Methods
CVE-2026-320348.1 HIGHOpenClaw < 2026.2.21 - Insecure Control UI Authentication over Plaintext HTTP
CVE-2026-320148.0 HIGHOpenClaw < 2026.2.26 - Node Reconnect Metadata Spoofing via Unsigned Platform Fields
CVE-2026-320327.8 HIGHOpenClaw < 2026.2.22 - Arbitrary Shell Execution via Unvalidated SHELL Environment Variabl
CVE-2026-320157.8 HIGHOpenClaw 2026.1.21 < 2026.2.19 - PATH Hijacking Bypass in tools.exec.safeBins Allowlist Va
CVE-2026-320167.8 HIGHOpenClaw < 2026.2.22 - Path Traversal via Basename-Only Allowlist Matching on macOS
CVE-2026-320307.5 HIGHOpenClaw < 2026.2.19 - Sensitive File Disclosure via stageSandboxMedia Path Traversal
CVE-2026-284617.5 HIGHOpenClaw < 2026.3.1 - Unbounded Memory Growth in Zalo Webhook via Query String Key Churn
CVE-2026-320257.5 HIGHOpenClaw < 2026.2.25 - Password Brute-Force via Browser-Origin WebSocket Authentication By
CVE-2026-320117.5 HIGHOpenClaw < 2026.3.2 - Slow-Request Denial of Service via Pre-Auth Webhook Body Parsing
CVE-2026-319897.4 HIGHOpenClaw < 2026.3.1 - Server-Side Request Forgery via web_search Citation Redirect
CVE-2026-320197.4 HIGHOpenClaw < 2026.2.22 - Incomplete IPv4 Special-Use Range Blocking in SSRF Guard
CVE-2026-284607.1 HIGHOpenClaw < 2026.2.22 - Allowlist Bypass via Shell Line-Continuation Command Substitution i
CVE-2026-319927.1 HIGHOpenClaw < 2026.2.23 - Allowlist Exec-Guard Bypass via env -S
CVE-2026-275667.1 HIGHOpenClaw < 2026.2.22 - Allowlist Bypass via Wrapper Binary Unwrapping in system.run
CVE-2026-319947.1 HIGHOpenClaw < 2026.2.19 - Local Command Injection via Unsafe cmd Argument Handling in Windows
CVE-2026-320007.1 HIGHOpenClaw < 2026.2.19 - Command Injection via Windows Shell Fallback in Lobster Tool Execut
CVE-2026-320177.1 HIGHOpenClaw < 2026.2.19 - Arbitrary File Write via Short-Option Bypass in exec Allowlist
CVE-2026-320237.1 HIGHOpenClaw < 2026.2.24 - Approval Gating Bypass via Dispatch-Wrapper Depth-Cap Mismatch in s

Showing 20 of 60 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-863

V. CVE-2026-31998へのコメント

まだコメントはありません

コメントを残す