目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-41347— OpenClaw 跨站请求伪造漏洞

CVSS 7.1 · High EPSS 0.02% · P4
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-41347の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw < 2026.3.31 - Cross-Site Request Forgery via Missing Browser-Origin Validation in HTTP Operator Endpoints
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw before 2026.3.31 lacks browser-origin validation in HTTP operator endpoints when operating in trusted-proxy mode, allowing cross-site request forgery attacks. Attackers can exploit this by sending malicious requests from a browser in trusted-proxy deployments to perform unauthorized actions on HTTP operator endpoints.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
跨站请求伪造(CSRF)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 跨站请求伪造漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是OpenClaw开源的一个智能人工助理。 OpenClaw 2026.3.31之前版本存在跨站请求伪造漏洞,该漏洞源于在受信任代理模式下运行时,HTTP操作员端点缺少浏览器源验证,允许跨站请求伪造攻击,攻击者可利用此漏洞在受信任代理部署中从浏览器发送恶意请求,在HTTP操作员端点上执行未授权操作。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 0 ~ 2026.3.31 -

II. CVE-2026-41347の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-41347のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-04-23 · 32 CVEs total

CVE-2026-413498.8 HIGHOpenClaw < 2026.3.28 - Agentic Consent Bypass via config.patch
CVE-2026-413528.8 HIGHOpenClaw < 2026.3.31 - Remote Code Execution via Node Scope Gate Bypass
CVE-2026-413538.1 HIGHOpenClaw < 2026.3.22 - allowProfiles Bypass via Profile Mutation and Runtime Selection
CVE-2026-413367.8 HIGHOpenClaw < 2026.3.31 - Arbitrary Hook Code Execution via OPENCLAW_BUNDLED_HOOKS_DIR Enviro
CVE-2026-413427.3 HIGHOpenClaw < 2026.3.28 - Unauthenticated Discovery Endpoint Credential Exfiltration via Remo
CVE-2026-413557.3 HIGHOpenShell < 2026.3.28 - Arbitrary Code Execution via Mirror Mode Sandbox File Conversion
CVE-2026-413597.1 HIGHOpenClaw < 2026.3.28 - Privilege Escalation via operator.write to Admin-Class Telegram Con
CVE-2026-413617.1 HIGHOpenClaw < 2026.3.28 - SSRF Guard Bypass via IPv6 Special-Use Ranges
CVE-2026-413606.7 MEDIUMOpenClaw < 2026.4.2 - Approval Integrity Bypass in pnpm dlx Local Script Binding
CVE-2026-413406.5 MEDIUMOpenClaw < 2026.3.31 - Authentication Boundary Bypass via Telegram Legacy allowFrom Migrat
CVE-2026-413346.5 MEDIUMOpenClaw < 2026.3.31 - Decompression Bomb Denial of Service via Image Pixel-Limit Guard By
CVE-2026-413485.4 MEDIUMOpenClaw < 2026.3.31 - Group DM Channel Allowlist Bypass via Discord Slash Commands
CVE-2026-413565.4 MEDIUMOpenClaw < 2026.3.31 - Incomplete WebSocket Session Termination in device.token.rotate
CVE-2026-419095.4 MEDIUMOpenClaw < 2026.4.20 - Improper Authorization in Paired-Device Pairing Actions
CVE-2026-413445.4 MEDIUMOpenClaw < 2026.3.28 - Privilege Escalation via chat.send /verbose Parameter
CVE-2026-413585.4 MEDIUMOpenClaw < 2026.4.2 - Sender Allowlist Bypass via Slack Thread Context
CVE-2026-413415.4 MEDIUMOpenClaw < 2026.3.31 - Component Interaction Misclassification in Discord Extension
CVE-2026-413355.3 MEDIUMOpenClaw < 2026.3.31 - Information Disclosure via Control UI Bootstrap JSON
CVE-2026-413325.3 MEDIUMOpenClaw < 2026.3.28 - Code Execution via Missing Environment Variable Blocklist
CVE-2026-413375.3 MEDIUMOpenClaw < 2026.3.31 - Callback Origin Mutation in Plivo Voice-call Replay

Showing 20 of 32 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-352

V. CVE-2026-41347へのコメント

まだコメントはありません

コメントを残す