製品・ソフトウェアに関する情報
Vulnerability Search
OpenClawにおけるセッション期限に関する脆弱性
Title OpenClawにおけるセッション期限に関する脆弱性
Summary

OpenClawの2026年3月31日以前のバージョンでは、デバイストークンのローテーション時にアクティブなWebSocketセッションを終了できません。このため、以前に侵害された資格情報を持つ攻撃者が、トークンのローテーション後も既存のWebSocket接続を通じて不正にアクセスを維持する可能性があります。

Possible impacts 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 23, 2026, midnight
Registration Date April 30, 2026, 11 a.m.
Last Update April 30, 2026, 11 a.m.
CVSS3.0 : 警告
Score 5.4
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Affected System
OpenClaw
OpenClaw 2026.3.31 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年04月30日]
  掲載		 April 30, 2026, 11 a.m.
NVD Vulnerability Information
CVE-2026-41356
Summary

OpenClaw before 2026.3.31 fails to terminate active WebSocket sessions when rotating device tokens. Attackers with previously compromised credentials can maintain unauthorized access through existing WebSocket connections after token rotation.

Publication Date April 24, 2026, 7:16 a.m.
Registration Date April 25, 2026, 4:07 a.m.
Last Update April 29, 2026, 11:08 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* 2026.3.31
Related information, measures and tools
Common Vulnerabilities List