CVE-2026-41374
⚪ Do wiadomości
Brak walidacji autoryzacji w OpenClaw umożliwia atakującym zdalne wyczerpanie zasobów.
CVSS
5.3
EPSS
0.1%
Exploit
none
Vendor
openclaw
Opis źródłowy (NVD)
OpenClaw before 2026.3.31 performs Discord audio preflight transcription before validating member authorization, allowing unauthenticated attackers to consume resources. Remote attackers can trigger audio preflight processing without member allowlist validation to cause resource exhaustion.
dos
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 5.3 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-04-28 19:37:40 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-30 13:19:13 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/ee52f64226a03efadfdf1e3b759e13424a3d4e41 (disclosure@vulncheck.com) [Patch]
- https://github.com/openclaw/openclaw/security/advisories/GHSA-hhff-fj5f-qg48 (disclosure@vulncheck.com) [Vendor Advisory]
- https://www.vulncheck.com/advisories/openclaw-resource-consumption-via-discord-audio-preflight-before-member-authorization (disclosure@vulncheck.com) [Third Party Advisory]