製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

OpenClawにおける安全でない失敗処理に関する脆弱性

タイトル	OpenClawにおける安全でない失敗処理に関する脆弱性
概要	OpenClawの2026年3月31日以前のバージョンには、プラグインのインストールフローでフェイルオープンの脆弱性が存在します。この脆弱性により、セキュリティスキャンの失敗がインストールを妨げることはありません。攻撃者はスキャンの失敗を悪用して、オペレーターが表示されたスキャン警告を無視して進めた場合に信頼されていないプラグインをインストールできる可能性があります。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月28日0:00
登録日	2026年5月7日12:04
最終更新日	2026年5月7日12:04

CVSS3.0 : 警告
スコア	4.6
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

影響を受けるシステム

OpenClaw

OpenClaw 2026.3.31 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41377	https://www.cve.org/CVERecord?id=CVE-2026-41377
National Vulnerability Database (NVD)
2	CVE-2026-41377	https://nvd.nist.gov/vuln/detail/CVE-2026-41377

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-636	https://cwe.mitre.org/data/definitions/636.html

ベンダー情報

No	名前	URL
GitHub
1	Security Scan Failure Does Not Block Plugin Installation (Fail-Open) Advisory openclaw/openclaw GitHub	https://github.com/openclaw/openclaw/security/advisories/GHSA-cwq8-6f96-g3q4
VulnCheck
2	OpenClaw < 2026.3.31 - Fail-Open Security Scan Bypass in Plugin Installation \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/openclaw-fail-open-security-scan-bypass-in-plugin-installation

その他

No	名前	URL
関連文書
1	feat(plugins): add dangerous unsafe install override openclaw/openclaw@44b9936 GitHub	https://github.com/openclaw/openclaw/commit/44b993613601280d46a5b88190e46669fc13d669
2	feat(security): fail closed on dangerous skill installs openclaw/openclaw@0d7f1e2 GitHub	https://github.com/openclaw/openclaw/commit/0d7f1e2c84eca65df7dee890d9c30e2a841c030a
3	fix: align skill install security gate openclaw/openclaw@bf96c67 GitHub	https://github.com/openclaw/openclaw/commit/bf96c67fd1954740aeabfadc7cfe3098bcfc6b68
4	Plugins: block install when source scan fails (#57729) openclaw/openclaw@7a953a5 GitHub	https://github.com/openclaw/openclaw/commit/7a953a52271b9188a5fa830739a4366614ff9916

変更履歴

No	変更内容	変更日
1	[2026年05月07日] 掲載	2026年5月7日12:04

NVD脆弱性情報

CVE-2026-41377

概要	OpenClaw before 2026.3.31 contains a fail-open vulnerability in the plugin installation flow where security scan failures do not block installation. Attackers can exploit scan failures to install untrusted plugins when operators proceed despite visible scan warnings.
公表日	2026年4月29日4:37
登録日	2026年4月30日4:09
最終更新日	2026年5月2日0:50

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openclaw:openclaw::::::node.js::*					2026.3.31

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/openclaw/openclaw/commit/0d7f1e2c84eca65df7dee890d9c30e2a841c030a	disclosure@vulncheck.com
2	https://github.com/openclaw/openclaw/commit/44b993613601280d46a5b88190e46669fc13d669	disclosure@vulncheck.com
3	https://github.com/openclaw/openclaw/commit/7a953a52271b9188a5fa830739a4366614ff9916	disclosure@vulncheck.com
4	https://github.com/openclaw/openclaw/commit/bf96c67fd1954740aeabfadc7cfe3098bcfc6b68	disclosure@vulncheck.com
5	https://github.com/openclaw/openclaw/security/advisories/GHSA-cwq8-6f96-g3q4	disclosure@vulncheck.com
6	https://www.vulncheck.com/advisories/openclaw-fail-open-security-scan-bypass-in-plugin-installation	disclosure@vulncheck.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-636	安全でない失敗処理	https://cwe.mitre.org/data/definitions/636.html