| タイトル | OpenClawにおけるセッション期限に関する脆弱性 |
|---|---|
| 概要 | OpenClawの2026年4月24日以前のバージョンには、トークン取り消しの脆弱性が存在し、取り消されたスラッシュトークンを持つ呼び出し元がモニター更新ウィンドウ中にコマンドの実行を継続できる可能性があります。攻撃者は、トークン取り消し後も一時的に古いトークンが受け入れられる点を悪用して、スラッシュコマンドを呼び出し、不正な操作を行う恐れがあります。この問題はオペレーターの設定に依存します。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月12日0:00 |
| 登録日 | 2026年6月17日15:38 |
| 最終更新日 | 2026年6月17日15:38 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
| OpenClaw |
| OpenClaw 2026.4.24 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月17日] 掲載 |
2026年6月17日15:38 |
| 概要 | OpenClaw before 2026.4.24 contains a token revocation vulnerability allowing callers with revoked slash tokens to continue executing commands during monitor refresh windows. Attackers can exploit stale token acceptance to invoke slash command behavior briefly after token revocation, potentially executing unauthorized actions depending on operator configuration. |
|---|---|
| 公表日 | 2026年6月13日7:16 |
| 登録日 | 2026年6月14日4:11 |
| 最終更新日 | 2026年6月16日11:51 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* | 2026.4.24 | ||||