目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-41339— OpenClaw 安全漏洞

CVSS 4.3 · Medium EPSS 0.03% · P9
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-41339の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw < 2026.4.2 - Information Disclosure via Gateway Connect Snapshot
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw before 2026.4.2 exposes configPath and stateDir metadata in Gateway connect success snapshots to non-admin authenticated clients. Non-admin clients can recover host-specific filesystem paths and deployment details, enabling host fingerprinting and facilitating chained attacks.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
将系统数据暴露到未授权控制的范围
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是OpenClaw开源的一个智能人工助理。 OpenClaw 2026.4.2之前版本存在安全漏洞,该漏洞源于在Gateway连接成功快照中向非管理员认证客户端暴露configPath和stateDir元数据,允许非管理员客户端恢复主机特定文件系统路径和部署详情。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 0 ~ 2026.4.2 -

II. CVE-2026-41339の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-41339のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-04-23 · 32 CVEs total

CVE-2026-413528.8 HIGHOpenClaw < 2026.3.31 - Remote Code Execution via Node Scope Gate Bypass
CVE-2026-413498.8 HIGHOpenClaw < 2026.3.28 - Agentic Consent Bypass via config.patch
CVE-2026-413538.1 HIGHOpenClaw < 2026.3.22 - allowProfiles Bypass via Profile Mutation and Runtime Selection
CVE-2026-413367.8 HIGHOpenClaw < 2026.3.31 - Arbitrary Hook Code Execution via OPENCLAW_BUNDLED_HOOKS_DIR Enviro
CVE-2026-413427.3 HIGHOpenClaw < 2026.3.28 - Unauthenticated Discovery Endpoint Credential Exfiltration via Remo
CVE-2026-413557.3 HIGHOpenShell < 2026.3.28 - Arbitrary Code Execution via Mirror Mode Sandbox File Conversion
CVE-2026-413597.1 HIGHOpenClaw < 2026.3.28 - Privilege Escalation via operator.write to Admin-Class Telegram Con
CVE-2026-413617.1 HIGHOpenClaw < 2026.3.28 - SSRF Guard Bypass via IPv6 Special-Use Ranges
CVE-2026-413477.1 HIGHOpenClaw < 2026.3.31 - Cross-Site Request Forgery via Missing Browser-Origin Validation in
CVE-2026-413606.7 MEDIUMOpenClaw < 2026.4.2 - Approval Integrity Bypass in pnpm dlx Local Script Binding
CVE-2026-413406.5 MEDIUMOpenClaw < 2026.3.31 - Authentication Boundary Bypass via Telegram Legacy allowFrom Migrat
CVE-2026-413346.5 MEDIUMOpenClaw < 2026.3.31 - Decompression Bomb Denial of Service via Image Pixel-Limit Guard By
CVE-2026-413485.4 MEDIUMOpenClaw < 2026.3.31 - Group DM Channel Allowlist Bypass via Discord Slash Commands
CVE-2026-413565.4 MEDIUMOpenClaw < 2026.3.31 - Incomplete WebSocket Session Termination in device.token.rotate
CVE-2026-419095.4 MEDIUMOpenClaw < 2026.4.20 - Improper Authorization in Paired-Device Pairing Actions
CVE-2026-413445.4 MEDIUMOpenClaw < 2026.3.28 - Privilege Escalation via chat.send /verbose Parameter
CVE-2026-413585.4 MEDIUMOpenClaw < 2026.4.2 - Sender Allowlist Bypass via Slack Thread Context
CVE-2026-413415.4 MEDIUMOpenClaw < 2026.3.31 - Component Interaction Misclassification in Discord Extension
CVE-2026-413355.3 MEDIUMOpenClaw < 2026.3.31 - Information Disclosure via Control UI Bootstrap JSON
CVE-2026-413325.3 MEDIUMOpenClaw < 2026.3.28 - Code Execution via Missing Environment Variable Blocklist

Showing 20 of 32 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-497

V. CVE-2026-41339へのコメント

まだコメントはありません

コメントを残す