CVE-2026-41298 in OpenClaw
要約
〜によって VulDB • 2026年05月31日
OpenClaw 2026.4.2 より前のバージョンでは、ID を保持する HTTP モードにおいて、POST /sessions/:sessionKey/kill エンドポイントに対する書き込みスコープの適用が不十分です。読み取りスコープの呼び出し元は、このエンドポイントにリクエストを送信することで実行中のサブエージェントセッションを終了でき、認可制御を回避できます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.