目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-41376— OpenClaw 访问控制错误漏洞

CVSS 5.4 · Medium EPSS 0.02% · P4
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-41376の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw < 2026.3.31 - Matrix Thread Context Allowlist Bypass via Sender Validation
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw before 2026.3.31 contains an allowlist bypass vulnerability in Matrix thread root and reply context handling that fails to properly validate message senders. Attackers can fetch thread-root and reply context messages that should be filtered by sender allowlists, bypassing access controls.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
源验证错误
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 访问控制错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是OpenClaw开源的一个智能人工助理。 OpenClaw 2026.3.31之前版本存在访问控制错误漏洞,该漏洞源于Matrix线程根和回复上下文处理中的允许列表绕过漏洞,未能正确验证消息发送者。攻击者可以获取应由发送者允许列表过滤的线程根和回复上下文消息,绕过访问控制。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 0 ~ 2026.3.31 -

II. CVE-2026-41376の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-41376のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-04-28 · 53 CVEs total

CVE-2026-413869.1 CRITICALOpenClaw < 2026.3.22 - Privilege Escalation via Unbound Bootstrap Setup Codes
CVE-2026-424228.8 HIGHOpenClaw < 2026.4.8 - Role Bypass in device.token.rotate Function
CVE-2026-413788.8 HIGHOpenClaw < 2026.3.31 - Privilege Escalation to Remote Code Execution via Unrestricted node
CVE-2026-414048.8 HIGHOpenClaw < 2026.3.31 - Operator Admin Privilege Escalation via Trusted-Proxy Authenticatio
CVE-2026-424268.8 HIGHOpenClaw < 2026.4.8 - Improper Authorization in node.pair.approve via operator.write Scope
CVE-2026-419148.5 HIGHOpenClaw < 2026.4.8 - Server-Side Request Forgery in QQ Bot Media Fetch Paths
CVE-2026-413948.2 HIGHOpenClaw < 2026.3.31 - Unauthorized Operator Scope Access in Unauthenticated Plugin-Auth R
CVE-2026-424318.1 HIGHOpenClaw < 2026.4.8 - Persistent Profile Mutation via node.invoke(browser.proxy) Bypass
CVE-2026-413838.1 HIGHOpenClaw < 2026.4.2 - Arbitrary Remote Directory Deletion via Mis-scoped Mirror Mode Paths
CVE-2026-413877.8 HIGHOpenClaw < 2026.3.22 - Supply Chain Redirection via Incomplete Host Environment Sanitizati
CVE-2026-413847.8 HIGHOpenClaw < 2026.3.24 - Environment Variable Injection via Workspace Config in CLI Backend
CVE-2026-424327.8 HIGHOpenClaw < 2026.4.8 - Command Escalation via Node Pairing Reconnect Bypass
CVE-2026-413967.8 HIGHOpenClaw < 2026.3.31 - Environment Variable Override of Plugin Trust Root
CVE-2026-419127.6 HIGHOpenClaw < 2026.4.8 - Server-Side Request Forgery Policy Bypass via Interaction-Triggered
CVE-2026-424237.5 HIGHOpenClaw < 2026.4.8 - strictInlineEval Approval Boundary Bypass via Approval-Timeout Fallb
CVE-2026-414057.5 HIGHOpenClaw < 2026.3.31 - Resource Exhaustion via Unauthenticated MS Teams Webhook Body Parsi
CVE-2026-413997.5 HIGHOpenClaw < 2026.3.28 - Denial of Service via Unbounded Pre-auth WebSocket Upgrades
CVE-2026-413957.5 HIGHOpenClaw < 2026.3.28 - Webhook Replay via Query Parameter Reordering in Plivo V3
CVE-2026-413807.3 HIGHOpenClaw < 2026.3.28 - Arbitrary Execution Allowlist via Wrapper Carrier Executables
CVE-2026-413907.3 HIGHOpenClaw < 2026.3.28 - Exec Allowlist Bypass via Unregistered /usr/bin/script Wrapper

Showing 20 of 53 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-346

V. CVE-2026-41376へのコメント

まだコメントはありません

コメントを残す