CVE-2026-41385

⚪ Do wiadomości

Przechowywanie klucza prywatnego Nostr w OpenClaw jako tekstu jawnego umożliwia jego ujawnienie.

CVSS

6.5

EPSS

0.0%

Exploit

none

Vendor

openclaw

Opis źródłowy (NVD)

OpenClaw before 2026.3.31 stores Nostr privateKey as plaintext in configuration, allowing exposure through config.get method calls that bypass redaction mechanisms. Attackers can retrieve unredacted configuration data to obtain plaintext signing keys used for Nostr protocol operations.

brak Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	6.5
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.0%
Opublikowano (NVD)	2026-04-28 19:37:41 UTC
Ostatnia modyfikacja (NVD)	2026-05-01 15:52:19 UTC

Referencje

https://github.com/openclaw/openclaw/commit/57700d716f660591fb6e09727f3ca8041fa48b9d (disclosure@vulncheck.com) [Patch]
https://github.com/openclaw/openclaw/security/advisories/GHSA-jjw7-3vjf-fg5j (disclosure@vulncheck.com) [Vendor Advisory]
https://www.vulncheck.com/advisories/openclaw-nostr-private-key-exposure-via-config-get-redaction-bypass (disclosure@vulncheck.com) [Third Party Advisory]