MEDIUMCVE-2026-34505CVSS 6.5

OpenClaw < 2026.3.12 - 事前認証シークレット検証による Webhook レート制限のバイパス

Q: CVE-2026-34505 とは何ですか？（openclaw）

Zalo Webhook は、新しいメッセージやステータス更新など、Zalo からの特定のイベントに関するリアルタイム通知を受け取る方法です。OpenClaw は、Zalo プラットフォームとのやり取りに Webhook を使用します。

Q: openclaw の CVE-2026-34505 による影響を受けていますか？

これは、Webhook シークレットが Zalo によって設定されたセキュリティポリシー（最小長や安全な文字の使用など）に準拠する必要があることを意味します。

Q: openclaw の CVE-2026-34505 を修正するにはどうすればよいですか？

すでに更新した場合は、Webhook の構成を確認し、シークレットがブルートフォース攻撃に耐えるのに十分な強度と複雑さを持っていることを確認することが重要です。

Q: CVE-2026-34505 は積極的に悪用されていますか？

はい、Webhook アクティビティの監視や Webhook エンドポイントへのアクセス制限など、追加の対策を検討してください。

Q: CVE-2026-34505 に関する openclaw の公式アドバイザリはどこで確認できますか？

OpenClaw のドキュメントを参照するか、OpenClaw に固有のバージョンチェック コマンドを実行することで、OpenClaw のバージョンを確認できます。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.12

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34505は、OpenClawにおけるレート制限バイパスの脆弱性です。OpenClawは、Webhook認証が成功した後にのみレート制限を適用するため、攻撃者はレート制限をバイパスしてWebhookシークレットをブルートフォース攻撃できます。攻撃者は、無効なシークレットを使用して認証リクエストを繰り返し送信し、レート制限応答をトリガーせずに、体系的なシークレット推測と、それに続く偽造されたWebhook送信を可能にします。影響を受けるバージョンは2026.3.12未満です。バージョン2026.3.12で修正されています。

影響と攻撃シナリオ

OpenClaw の CVE-2026-34505 は、Zalo Webhook ハンドラーに影響を与えます。システムは、Webhook 認証が成功した後にリクエストのレート制限を適用しました。これにより、無効なシークレットを持つリクエストは 401 エラーを受け取りますが、レート制限にはカウントされません。攻撃者はしたがって、429 制限に達することなく、シークレットを繰り返し推測することができます。シークレットが正しく推測されると、攻撃者は偽の Zalo Webhook トラフィックを送信できます。

悪用の状況

この脆弱性は、Webhook シークレットに対する比較的単純なブルートフォース攻撃を可能にするため、特に懸念されます。シークレットは「ポリシー準拠」である必要があります（つまり、特定のセキュリティポリシーに準拠する必要がありますが）、認証前のレート制限がないため、弱いシークレットを推測する難易度が大幅に低下します。侵害された場合、攻撃者は Zalo Webhook を操作でき、その結果、これらの Webhook に依存する機能によっては、重大な結果が生じる可能性があります。

リスク対象者翻訳中…

Applications utilizing openclaw for Zalo webhook integration, particularly those with weak or easily guessable webhook secrets, are at risk. Shared hosting environments where multiple applications share the same webhook endpoint are also potentially vulnerable, as an attacker could target a single vulnerable application to gain access to others.

検出手順翻訳中…

• nodejs: Use npm audit to check for vulnerable versions of openclaw. Monitor application logs for repeated 401 errors from webhook requests, which could indicate a brute-force attempt.

npm audit openclaw

• generic web: Monitor access logs for a high volume of requests to the Zalo webhook endpoint with 401 status codes. Implement rate limiting on the webhook endpoint to detect and block suspicious activity.

攻撃タイムライン

2026-03-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート4 件の脅威レポート

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.3.122026.3.12

—2026.3.12

弱点分類 (CWE)

CWE-307

タイムライン

予約済み2026-03-30
公開日2026-03-13
更新日2026-04-06
EPSS 更新日2026-04-07

緩和策と回避策

CVE-2026-34505 の軽減策は、OpenClaw をバージョン 2026.3.12 以降に更新することです。このバージョンでは、Webhook 認証の前にレート制限が実装され、攻撃者がシークレットを推測する試行回数を過剰にすることを防ぎます。このセキュリティリスクから身を守るために、更新することを強くお勧めします。さらに、ブルートフォース攻撃をさらに困難にするために、堅牢で複雑な Webhook シークレットを使用することをお勧めします。

修正方法

OpenClaw をバージョン 2026.3.12 以降にアップデートしてください。このバージョンでは、Webhook 認証の前にレート制限を適用することで、レート制限のバイパスの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34505 とは何ですか？（openclaw）