CVE-2026-41354
⚪ Do wiadomości
Niewystarczający zakres w OpenClaw pozwala na cichą supresję wiadomości i zakłócenie pracy botów.
CVSS
3.7
EPSS
0.1%
Exploit
none
Vendor
openclaw
Opis źródłowy (NVD)
OpenClaw before 2026.4.2 contains an insufficient scope vulnerability in Zalo webhook replay dedupe keys that allows legitimate events from different conversations or senders to collide. Attackers can exploit weak deduplication scoping to cause silent message suppression and disrupt bot workflows across chat sessions.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 3.7 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-04-23 22:16:42 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-01 20:17:23 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/ef7c553dd16ee579f1d1a363f5881a99726c1412 (disclosure@vulncheck.com) [Patch]
- https://github.com/openclaw/openclaw/security/advisories/GHSA-rxmx-g7hr-8mx4 (disclosure@vulncheck.com) [Vendor Advisory]
- https://www.vulncheck.com/advisories/openclaw-insufficient-scope-in-zalo-webhook-replay-dedupe-keys (disclosure@vulncheck.com) [Third Party Advisory]