CVE-2026-28450 in OpenClawinfo

Zusammenfassung

von VulDB • 18.05.2026

In OpenClaw, versioni precedenti alla 2026.2.12 con il plugin Nostr opzionale abilitato, sono esposti endpoint HTTP non autenticati su /api/channels/nostr/:accountId/profile e /api/channels/nostr/:accountId/profile/import che consentono la lettura e la modifica dei profili Nostr senza l'autenticazione del gateway. Gli attaccanti remoti possono sfruttare questi endpoint per leggere dati sensibili del profilo, modificare i profili Nostr, persistere modifiche dannose alla configurazione del gateway e pubblicare eventi Nostr firmati utilizzando la chiave privata del bot quando la porta HTTP del gateway è accessibile oltre localhost.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

27.02.2026

Veröffentlichung

06.03.2026

Moderieren

akzeptiert

Eintrag

VDB-349369

CPE

bereit

CWE

CWE-306 (bestätigt)

CVSS

8.2 (NVD)

EPSS

0.00124

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-28450
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-28450
CVE Details	https://www.cvedetails.com/cve/CVE-2026-28450/

◂ Zurück Übersicht Weiter ▸

Want to know what is going to be exploited?

We predict KEV entries!