OpenClawにおけるユーザ制御の鍵による認証回避に関する脆弱性
| Title |
OpenClawにおけるユーザ制御の鍵による認証回避に関する脆弱性
|
| Summary |
OpenClawの2026.4.2以前のバージョンは、リモートCDP検出応答で末尾にドットが付いたlocalhostホストを正規化できず、ループバック保護をバイパスしてしまいます。攻撃者は、localhost.を返す悪意のある検出応答を作成することで、認証されたブラウザ制御をlocalhostエンドポイントにリターゲットし、ブラウザの状態を露出させることが可能です。
|
| Possible impacts |
当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 28, 2026, midnight |
| Registration Date |
April 30, 2026, 10:59 a.m. |
| Last Update |
April 30, 2026, 10:59 a.m. |
|
CVSS3.0 : 警告
|
| Score |
5.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N |
Affected System
| OpenClaw |
|
OpenClaw 2026.4.2 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月30日]
掲載 |
April 30, 2026, 10:59 a.m. |
NVD Vulnerability Information
CVE-2026-41372
| Summary |
OpenClaw before 2026.4.2 fails to normalize trailing-dot localhost hosts in remote CDP discovery responses, allowing bypass of loopback protections. Attackers can craft hostile discovery responses returning localhost. to retarget authenticated browser control toward localhost endpoints and expose browser state.
|
| Publication Date |
April 28, 2026, 9:16 a.m. |
| Registration Date |
April 29, 2026, 4:07 a.m. |
| Last Update |
April 29, 2026, 3:43 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* |
|
|
|
2026.4.2 |
Related information, measures and tools
Common Vulnerabilities List