CVE-2026-41356

⚪ Do wiadomości

Błąd w OpenClaw pozwala na utrzymanie nieautoryzowanego dostępu po rotacji tokenów.

CVSS

5.4

EPSS

0.0%

Exploit

none

Vendor

openclaw

Opis źródłowy (NVD)

OpenClaw before 2026.3.31 fails to terminate active WebSocket sessions when rotating device tokens. Attackers with previously compromised credentials can maintain unauthorized access through existing WebSocket connections after token rotation.

brak Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	5.4
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.0%
Opublikowano (NVD)	2026-04-23 22:16:43 UTC
Ostatnia modyfikacja (NVD)	2026-04-29 14:08:59 UTC

Referencje

https://github.com/openclaw/openclaw/commit/91f7a6b0fd67b703897e6e307762d471ca09333d (disclosure@vulncheck.com) [Patch]
https://github.com/openclaw/openclaw/security/advisories/GHSA-rfqg-qgf8-xr9x (disclosure@vulncheck.com) [Vendor Advisory]
https://www.vulncheck.com/advisories/openclaw-incomplete-websocket-session-termination-in-device-token-rotate (disclosure@vulncheck.com) [Third Party Advisory]