| タイトル | OpenClawにおける不十分なランダム値の使用に関する脆弱性 |
|---|---|
| 概要 | OpenClawの2026.4.2より前のバージョンでは、Gemini OAuthフローにおいてPKCE検証子をOAuthのstateパラメータとして再利用しており、リダイレクトURLを通じてこれが公開されます。リダイレクトURLを捕捉した攻撃者は、認可コードとPKCE検証子の両方を取得でき、PKCEプロテクションを無効化してトークンの不正交換を可能にします。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月3日0:00 |
| 登録日 | 2026年4月24日11:44 |
| 最終更新日 | 2026年4月24日11:44 |
| CVSS3.0 : 警告 | |
| スコア | 5.9 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| OpenClaw |
| OpenClaw 2026.4.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月24日] 掲載 |
2026年4月24日11:44 |
| 概要 | OpenClaw before 2026.4.2 reuses the PKCE verifier as the OAuth state parameter in the Gemini OAuth flow, exposing it through the redirect URL. Attackers who capture the redirect URL can obtain both the authorization code and PKCE verifier, defeating PKCE protection and enabling token redemption. |
|---|---|
| 公表日 | 2026年4月4日6:17 |
| 登録日 | 2026年4月15日11:24 |
| 最終更新日 | 2026年4月23日3:03 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* | 2026.4.2 | ||||