目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-35628— OpenClaw 安全漏洞

CVSS 4.8 · Medium EPSS 0.07% · P20
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-35628の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw < 2026.3.25 - Brute-Force Attack via Missing Telegram Webhook Rate Limiting
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw before 2026.3.25 contains a missing rate limiting vulnerability in Telegram webhook authentication that allows attackers to brute-force weak webhook secrets. The vulnerability enables repeated authentication guesses without throttling, permitting attackers to systematically guess webhook secrets through brute-force attacks.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
过多认证尝试的限制不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是OpenClaw开源的一个智能人工助理。 OpenClaw 2026.3.25之前版本存在安全漏洞,该漏洞源于Telegram Webhook身份验证缺少速率限制,可能导致暴力破解攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 0 ~ 2026.3.25 -

II. CVE-2026-35628の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-35628のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-04-09 · 25 CVEs total

CVE-2026-356388.8 HIGHOpenClaw < 2026.3.22 - Privilege Escalation via Self-Declared Scopes in Trusted-Proxy Cont
CVE-2026-356398.8 HIGHOpenClaw < 2026.3.22 - Privilege Escalation via device.pair.approve Scope Validation
CVE-2026-356458.1 HIGHOpenClaw < 2026.3.25 - Privilege Escalation via Synthetic operator.admin in deleteSession
CVE-2026-345128.1 HIGHOpenClaw < 2026.3.25 - Improper Access Control in /sessions/:sessionKey/kill Endpoint
CVE-2026-356257.8 HIGHOpenClaw < 2026.3.25 - Privilege Escalation via Silent Local Shared-Auth Reconnect
CVE-2026-356297.4 HIGHOpenClaw < 2026.3.25 - Server-Side Request Forgery via Unguarded Configured Base URLs in C
CVE-2026-356377.3 HIGHOpenClaw < 2026.3.22 - Premature Cite Expansion Before Authorization in Channel and DM
CVE-2026-356327.1 HIGHOpenClaw <= 2026.2.22 - Symlink Traversal via IDENTITY.md appendFile in agents.create/upda
CVE-2026-356446.5 MEDIUMOpenClaw < 2026.3.22 - Credential Exposure via baseUrl Fields in Gateway Snapshots
CVE-2026-356366.5 MEDIUMOpenClaw 2026.3.11 < 2026.3.25 - Session Isolation Bypass via sessionId Resolution
CVE-2026-356316.5 MEDIUMOpenClaw < 2026.3.22 - Missing Authorization Enforcement in Internal ACP Chat Commands
CVE-2026-356276.5 MEDIUMOpenClaw < 2026.3.22 - Unauthenticated Cryptographic Work in Nostr Inbound DM Handling
CVE-2026-356186.5 MEDIUMOpenClaw < 2026.3.23 - Replay Identity Drift via Query-Only Variants in Plivo V2 Verificat
CVE-2026-356225.9 MEDIUMOpenClaw < 2026.3.22 - Improper Authentication Verification in Google Chat Webhook
CVE-2026-356405.3 MEDIUMOpenClaw < 2026.3.25 - Denial of Service via Unauthenticated Webhook Request Parsing
CVE-2026-356335.3 MEDIUMOpenClaw < 2026.3.22 - Unbounded Memory Allocation via Remote Media Error Responses
CVE-2026-356265.3 MEDIUMOpenClaw < 2026.3.22 - Unauthenticated Resource Exhaustion via Voice Call Webhook
CVE-2026-356345.1 MEDIUMOpenClaw < 2026.3.23 - Authentication Bypass via Local-Direct Requests in Canvas Gateway
CVE-2026-356464.8 MEDIUMOpenClaw < 2026.3.25 - Pre-Authentication Rate-Limit Bypass in Webhook Token Validation
CVE-2026-356234.8 MEDIUMOpenClaw < 2026.3.25 - Brute-Force Attack via Missing Webhook Password Rate Limiting

Showing 20 of 25 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-307

V. CVE-2026-35628へのコメント

まだコメントはありません

コメントを残す