目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-45002— OpenClaw 安全漏洞

CVSS 5.3 · Medium EPSS 0.03% · P8
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-45002の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw < 2026.4.20 - Hook Session-Key Bypass via Template Mapping
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw before 2026.4.20 contains a hook session-key bypass vulnerability that allows attackers to circumvent the hooks.allowRequestSessionKey opt-in restriction. Attackers can render externally influenced session keys through templated hook mappings to bypass webhook routing isolation controls.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
授权机制不正确
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是OpenClaw开源的一个智能人工助理。 OpenClaw 2026.4.20之前版本存在安全漏洞,该漏洞源于钩子会话密钥绕过,可能导致攻击者绕过hooks.allowRequestSessionKey选择加入限制。攻击者可通过模板化钩子映射渲染外部影响的会话密钥,绕过webhook路由隔离控制。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 0 ~ 2026.4.20 -

II. CVE-2026-45002の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-45002のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-05-11 · 18 CVEs total

CVE-2026-452238.8 HIGHCrabbox < 0.9.0 Authentication Bypass via Admin Claim Injection
CVE-2026-450068.8 HIGHOpenClaw < 2026.4.23 - Unsafe Config Mutation via Gateway Tool Denylist Bypass
CVE-2026-450047.8 HIGHOpenClaw < 2026.4.23 - Arbitrary Code Execution via setup-api.js in Current Working Direct
CVE-2026-449957.3 HIGHOpenClaw < 2026.4.20 - Arbitrary Code Execution via MCP stdio Environment Variables
CVE-2026-450017.1 HIGHOpenClaw < 2026.4.20 - Gateway Config Mutation Guard Bypass via Agent Tool Access
CVE-2026-452247.1 HIGHCrabbox < 0.9.0 Path Traversal via Islo Provider Workspace Resolution
CVE-2026-450056.0 MEDIUMOpenClaw < 2026.4.23 - Webhook Route Secret Cache Not Invalidated After Rotation
CVE-2026-449935.4 MEDIUMOpenClaw < 2026.4.20 - Direct Message Misclassification in Feishu Card Actions
CVE-2026-449985.4 MEDIUMOpenClaw < 2026.4.20 - Tool Policy Bypass via Bundled MCP/LSP Tools
CVE-2026-449995.3 MEDIUMOpenClaw < 2026.4.20 - Improper Trust Labeling in Isolated Cron Awareness Events
CVE-2026-449945.3 MEDIUMOpenClaw < 2026.4.22 - Authentication Bypass in Gateway Control UI Bootstrap Config Endpoi
CVE-2026-450005.0 MEDIUMOpenClaw < 2026.4.20 - Server-Side Request Forgery via Browser CDP Profile Creation
CVE-2026-449925.0 MEDIUMOpenClaw 2026.4.5 < 2026.4.20 - MiniMax API Host Override via Workspace dotenv
CVE-2026-450035.0 MEDIUMOpenClaw < 2026.4.22 - Connector Endpoint Host Override via Workspace dotenv Files
CVE-2026-449974.3 MEDIUMOpenClaw < 2026.4.22 - Security Envelope Constraint Bypass in ACP Child Sessions
CVE-2026-449914.2 MEDIUMOpenClaw < 2026.4.21 - Authorization Bypass in Owner-Enforced Commands via Wildcard Channe
CVE-2026-449963.7 LOWOpenClaw < 2026.4.15 - Arbitrary Local File Read via Webchat Audio Embedding

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-863

V. CVE-2026-45002へのコメント

まだコメントはありません

コメントを残す