CVE-2026-41298 in OpenClaw
요약
\~에 의해 VulDB • 2026. 05. 09.
2026.4.2 이전 버전의 OpenClaw는 identity-bearing HTTP 모드에서 POST /sessions/:sessionKey/kill 엔드포인트에 대한 쓰기 범위(write scopes)를 강제하지 않습니다. 읽기 전용(read-scoped) 호출자는 이 엔드포인트에 요청을 전송하여 실행 중인 서브에이전트(subagent) 세션을 종료할 수 있으며, 이는 권한 제어(authorization controls)를 우회하는 것입니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.