製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

OpenClawにおけるデジタル署名の検証に関する脆弱性

タイトル	OpenClawにおけるデジタル署名の検証に関する脆弱性
概要	OpenClawのバージョン2026.3.22から2026.3.31以前には、Nostr DMの受信経路に署名検証バイパスの脆弱性が含まれていました。イベント署名の検証前にペアリングチャレンジを発行することが可能です。認証されていないリモートの攻撃者が偽造されたダイレクトメッセージを送信し、保留中のペアリングエントリを作成できます。さらに、ペアリング応答の試行を引き起こすことで共有ペアリング容量を消費し、Nostrチャネル上の制限付きリレーおよびログ記録作業を誘発させることができます。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月21日0:00
登録日	2026年4月30日12:26
最終更新日	2026年4月30日12:26

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

影響を受けるシステム

OpenClaw

OpenClaw 2026.3.31 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41301	https://www.cve.org/CVERecord?id=CVE-2026-41301
National Vulnerability Database (NVD)
2	CVE-2026-41301	https://nvd.nist.gov/vuln/detail/CVE-2026-41301

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-347	https://cwe.mitre.org/data/definitions/347.html

ベンダー情報

No	名前	URL
GitHub
1	Forged Nostr DMs could create pairing state before signature verification Advisory openclaw/openclaw GitHub	https://github.com/openclaw/openclaw/security/advisories/GHSA-h43v-27wg-5mf9
VulnCheck
2	OpenClaw 2026.3.22 < 2026.3.31 - Forged Nostr DM Pairing State Creation via Signature Verification Bypass \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/openclaw-forged-nostr-dm-pairing-state-creation-via-signature-verification-bypass

その他

No	名前	URL
関連文書
1	fix(nostr): verify inbound dm signatures before pairing replies (#58236) openclaw/openclaw@4ee7421 GitHub	https://github.com/openclaw/openclaw/commit/4ee742174f36b5445703e3b1ef2fbd6ae6700fa4

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日12:26

NVD脆弱性情報

CVE-2026-41301

概要	OpenClaw versions 2026.3.22 before 2026.3.31 contain a signature verification bypass vulnerability in the Nostr DM ingress path that allows pairing challenges to be issued before event signature validation. An unauthenticated remote attacker can send forged direct messages to create pending pairing entries and trigger pairing-reply attempts, consuming shared pairing capacity and triggering bounded relay and logging work on the Nostr channel.
公表日	2026年4月21日9:16
登録日	2026年4月25日4:02
最終更新日	2026年4月28日1:56

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openclaw:openclaw::::::node.js::*					2026.3.31

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/openclaw/openclaw/commit/4ee742174f36b5445703e3b1ef2fbd6ae6700fa4	disclosure@vulncheck.com
2	https://github.com/openclaw/openclaw/security/advisories/GHSA-h43v-27wg-5mf9	disclosure@vulncheck.com
3	https://www.vulncheck.com/advisories/openclaw-forged-nostr-dm-pairing-state-creation-via-signature-verification-bypass	disclosure@vulncheck.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-347	デジタル署名の不適切な検証	https://cwe.mitre.org/data/definitions/347.html