製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenClawにおける安全でない失敗処理に関する脆弱性

Title	OpenClawにおける安全でない失敗処理に関する脆弱性
Summary	OpenClawの2026年3月31日以前のバージョンには、プラグインのインストールフローでフェイルオープンの脆弱性が存在します。この脆弱性により、セキュリティスキャンの失敗がインストールを妨げることはありません。攻撃者はスキャンの失敗を悪用して、オペレーターが表示されたスキャン警告を無視して進めた場合に信頼されていないプラグインをインストールできる可能性があります。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 28, 2026, midnight
Registration Date	May 7, 2026, 12:04 p.m.
Last Update	May 7, 2026, 12:04 p.m.

Affected System

OpenClaw

OpenClaw 2026.3.31 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41377	https://www.cve.org/CVERecord?id=CVE-2026-41377
National Vulnerability Database (NVD)
2	CVE-2026-41377	https://nvd.nist.gov/vuln/detail/CVE-2026-41377

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-636	https://cwe.mitre.org/data/definitions/636.html

ベンダー情報

No	Name	URL
GitHub
1	Security Scan Failure Does Not Block Plugin Installation (Fail-Open) Advisory openclaw/openclaw GitHub	https://github.com/openclaw/openclaw/security/advisories/GHSA-cwq8-6f96-g3q4
VulnCheck
2	OpenClaw < 2026.3.31 - Fail-Open Security Scan Bypass in Plugin Installation \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/openclaw-fail-open-security-scan-bypass-in-plugin-installation

その他

No	Name	URL
関連文書
1	feat(plugins): add dangerous unsafe install override openclaw/openclaw@44b9936 GitHub	https://github.com/openclaw/openclaw/commit/44b993613601280d46a5b88190e46669fc13d669
2	feat(security): fail closed on dangerous skill installs openclaw/openclaw@0d7f1e2 GitHub	https://github.com/openclaw/openclaw/commit/0d7f1e2c84eca65df7dee890d9c30e2a841c030a
3	fix: align skill install security gate openclaw/openclaw@bf96c67 GitHub	https://github.com/openclaw/openclaw/commit/bf96c67fd1954740aeabfadc7cfe3098bcfc6b68
4	Plugins: block install when source scan fails (#57729) openclaw/openclaw@7a953a5 GitHub	https://github.com/openclaw/openclaw/commit/7a953a52271b9188a5fa830739a4366614ff9916

Change Log

No	Changed Details	Date of change
1	[2026年05月07日] 掲載	May 7, 2026, 12:04 p.m.

NVD Vulnerability Information

CVE-2026-41377

Summary	OpenClaw before 2026.3.31 contains a fail-open vulnerability in the plugin installation flow where security scan failures do not block installation. Attackers can exploit scan failures to install untrusted plugins when operators proceed despite visible scan warnings.
Publication Date	April 29, 2026, 4:37 a.m.
Registration Date	April 30, 2026, 4:09 a.m.
Last Update	May 2, 2026, 12:50 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:openclaw:openclaw::::::node.js::*					2026.3.31

Related information, measures and tools

No	URL	refsource
1	https://github.com/openclaw/openclaw/commit/0d7f1e2c84eca65df7dee890d9c30e2a841c030a	disclosure@vulncheck.com
2	https://github.com/openclaw/openclaw/commit/44b993613601280d46a5b88190e46669fc13d669	disclosure@vulncheck.com
3	https://github.com/openclaw/openclaw/commit/7a953a52271b9188a5fa830739a4366614ff9916	disclosure@vulncheck.com
4	https://github.com/openclaw/openclaw/commit/bf96c67fd1954740aeabfadc7cfe3098bcfc6b68	disclosure@vulncheck.com
5	https://github.com/openclaw/openclaw/security/advisories/GHSA-cwq8-6f96-g3q4	disclosure@vulncheck.com
6	https://www.vulncheck.com/advisories/openclaw-fail-open-security-scan-bypass-in-plugin-installation	disclosure@vulncheck.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-636	安全でない失敗処理	https://cwe.mitre.org/data/definitions/636.html