目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-41350— OpenClaw 安全漏洞

CVSS 4.3 · Medium EPSS 0.03% · P9
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-41350の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw < 2026.3.31 - Session Visibility Bypass via session_status in Unsandboxed Invocations
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw before 2026.3.31 contains a session visibility bypass vulnerability where the session_status function fails to enforce configured tools.sessions.visibility restrictions for unsandboxed invocations. Attackers can invoke session_status without sandbox constraints to bypass session-policy controls and access restricted session information.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
授权机制不正确
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是OpenClaw开源的一个智能人工助理。 OpenClaw 2026.3.31之前版本存在安全漏洞,该漏洞源于存在会话可见性绕过漏洞,session_status函数未能对非沙盒调用强制执行已配置的tools.sessions.visibility限制,攻击者可在无沙盒约束的情况下调用session_status来绕过会话策略控制并访问受限的会话信息。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 0 ~ 2026.3.31 -

II. CVE-2026-41350の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-41350のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-04-23 · 32 CVEs total

CVE-2026-413498.8 HIGHOpenClaw < 2026.3.28 - Agentic Consent Bypass via config.patch
CVE-2026-413528.8 HIGHOpenClaw < 2026.3.31 - Remote Code Execution via Node Scope Gate Bypass
CVE-2026-413538.1 HIGHOpenClaw < 2026.3.22 - allowProfiles Bypass via Profile Mutation and Runtime Selection
CVE-2026-413367.8 HIGHOpenClaw < 2026.3.31 - Arbitrary Hook Code Execution via OPENCLAW_BUNDLED_HOOKS_DIR Enviro
CVE-2026-413427.3 HIGHOpenClaw < 2026.3.28 - Unauthenticated Discovery Endpoint Credential Exfiltration via Remo
CVE-2026-413557.3 HIGHOpenShell < 2026.3.28 - Arbitrary Code Execution via Mirror Mode Sandbox File Conversion
CVE-2026-413597.1 HIGHOpenClaw < 2026.3.28 - Privilege Escalation via operator.write to Admin-Class Telegram Con
CVE-2026-413617.1 HIGHOpenClaw < 2026.3.28 - SSRF Guard Bypass via IPv6 Special-Use Ranges
CVE-2026-413477.1 HIGHOpenClaw < 2026.3.31 - Cross-Site Request Forgery via Missing Browser-Origin Validation in
CVE-2026-413606.7 MEDIUMOpenClaw < 2026.4.2 - Approval Integrity Bypass in pnpm dlx Local Script Binding
CVE-2026-413346.5 MEDIUMOpenClaw < 2026.3.31 - Decompression Bomb Denial of Service via Image Pixel-Limit Guard By
CVE-2026-413406.5 MEDIUMOpenClaw < 2026.3.31 - Authentication Boundary Bypass via Telegram Legacy allowFrom Migrat
CVE-2026-413485.4 MEDIUMOpenClaw < 2026.3.31 - Group DM Channel Allowlist Bypass via Discord Slash Commands
CVE-2026-413565.4 MEDIUMOpenClaw < 2026.3.31 - Incomplete WebSocket Session Termination in device.token.rotate
CVE-2026-419095.4 MEDIUMOpenClaw < 2026.4.20 - Improper Authorization in Paired-Device Pairing Actions
CVE-2026-413445.4 MEDIUMOpenClaw < 2026.3.28 - Privilege Escalation via chat.send /verbose Parameter
CVE-2026-413585.4 MEDIUMOpenClaw < 2026.4.2 - Sender Allowlist Bypass via Slack Thread Context
CVE-2026-413415.4 MEDIUMOpenClaw < 2026.3.31 - Component Interaction Misclassification in Discord Extension
CVE-2026-413325.3 MEDIUMOpenClaw < 2026.3.28 - Code Execution via Missing Environment Variable Blocklist
CVE-2026-413355.3 MEDIUMOpenClaw < 2026.3.31 - Information Disclosure via Control UI Bootstrap JSON

Showing 20 of 32 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-863

V. CVE-2026-41350へのコメント

まだコメントはありません

コメントを残す