OpenClawにおけるスプーフィングによる認証回避に関する脆弱性
| Title |
OpenClawにおけるスプーフィングによる認証回避に関する脆弱性
|
| Summary |
2026年4月29日以前のOpenClawには、認証された送信者が明示的なallowFrom制限なしに設定を変更できるQQBotストリーミングコマンドにおいて、認可バイパスの脆弱性があります。攻撃者はワイルドカードでないホワイトリストエントリ要件を満たさずに該当コマンドに到達することで、本来の管理者ポリシーの範囲外でQQBotストリーミングの設定を変更できます。
|
| Possible impacts |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 12, 2026, midnight |
| Registration Date |
June 16, 2026, 1:35 p.m. |
| Last Update |
June 16, 2026, 1:35 p.m. |
|
CVSS3.0 : 警告
|
| Score |
6.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Affected System
| OpenClaw |
|
OpenClaw 2026.4.29 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月16日]
掲載 |
June 16, 2026, 1:35 p.m. |
NVD Vulnerability Information
CVE-2026-53833
| Summary |
OpenClaw before 2026.4.29 contains an authorization bypass vulnerability in the QQBot streaming command that allows authenticated senders to mutate configuration without explicit allowFrom restrictions. Attackers can modify QQBot streaming configuration outside intended admin policy by reaching the affected command without non-wildcard allowlist entry requirements.
|
| Publication Date |
June 13, 2026, 7:16 a.m. |
| Registration Date |
June 14, 2026, 4:11 a.m. |
| Last Update |
June 13, 2026, 7:16 a.m. |
Related information, measures and tools
Common Vulnerabilities List