CVE-2026-41376
⚪ Do wiadomości
Obejście listy dozwolonych nadawców w OpenClaw umożliwia dostęp do chronionych wiadomości.
CVSS
5.4
EPSS
0.0%
Exploit
none
Vendor
openclaw
Opis źródłowy (NVD)
OpenClaw before 2026.3.31 contains an allowlist bypass vulnerability in Matrix thread root and reply context handling that fails to properly validate message senders. Attackers can fetch thread-root and reply context messages that should be filtered by sender allowlists, bypassing access controls.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 5.4 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-04-28 19:37:40 UTC |
| Ostatnia modyfikacja (NVD) | 2026-05-01 15:50:24 UTC |
Referencje
- https://github.com/openclaw/openclaw/commit/8a563d603b70ef6338915f0527bee87282c3bad5 (disclosure@vulncheck.com) [Patch]
- https://github.com/openclaw/openclaw/security/advisories/GHSA-rg8m-3943-vm6q (disclosure@vulncheck.com) [Vendor Advisory]
- https://www.vulncheck.com/advisories/openclaw-matrix-thread-context-allowlist-bypass-via-sender-validation (disclosure@vulncheck.com) [Third Party Advisory]