MEDIUMCVE-2026-3691CVSS 5.3

OpenClaw クライアント PKCE 検証者情報漏洩の脆弱性

プラットフォーム

javascript

コンポーネント

openclaw

修正版

2026.2.22

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-3691 は、OpenClaw Client に存在する情報漏洩の脆弱性です。この脆弱性を悪用されると、攻撃者は保存された認証情報を取得できる可能性があります。影響を受けるバージョンは 2026.2.21 です。開発者は修正プログラムをリリースしており、速やかにアップデートすることを推奨します。

影響と攻撃シナリオ

この脆弱性は、OAuth 認証フローの処理における不備が原因で発生します。攻撃者は、OAuth 認証リクエストの URL に含まれる機密情報を悪用し、保存されている認証情報を盗み出すことが可能です。認証情報が漏洩した場合、攻撃者はユーザーになりすましてシステムにアクセスしたり、機密データに不正にアクセスしたりする可能性があります。この脆弱性の影響範囲は、認証情報が漏洩したユーザーアカウントに限定されますが、漏洩した認証情報が他のシステムで再利用されている場合、より広範囲な被害が発生する可能性があります。類似の OAuth 実装における脆弱性が過去に報告されており、攻撃者はこれらの事例を参考に攻撃を仕掛ける可能性があります。

悪用の状況

CVE-2026-3691 は 2026年4月11日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。しかし、OAuth 認証フローの脆弱性は、攻撃者にとって魅力的な標的であり、今後悪用される可能性は否定できません。EPSS スコアは、現時点では評価中ですが、OAuth 認証の脆弱性であることから、中程度の確率で悪用される可能性があると考えられます。NVD および CISA の情報も参照し、最新の状況を常に監視してください。

リスク対象者翻訳中…

Users of the OpenClaw Client, particularly those relying on OAuth for authentication, are at risk. This includes individuals and organizations using the client for accessing services that require OAuth authorization. Systems with legacy configurations or those that haven't implemented robust OAuth security practices are particularly vulnerable.

検出手順翻訳中…

• javascript / client:

// Check for presence of sensitive data in authorization URL query string
// Example: Check if 'verifier' parameter is present and contains a long, random string

• generic web:

curl -v 'https://<openclaw_client_url>/oauth/authorize?response_type=code&client_id=<client_id>&redirect_uri=<redirect_uri>&verifier=<potential_verifier>' | grep 'verifier='

攻撃タイムライン

2026-04-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーOpenClaw

影響範囲修正版

2026.2.21 – 2026.2.212026.2.22

弱点分類 (CWE)

CWE-200

タイムライン

予約済み2026-03-07
公開日2026-04-11
更新日2026-04-13
EPSS 更新日2026-04-18

未パッチ — 公開から43日経過

緩和策と回避策

OpenClaw Client を最新バージョンにアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートがすぐに利用できない場合、OAuth 認証フローの処理を一時的に停止するか、認証フローの URL に機密情報を含まないように設定を変更することを検討してください。また、WAF (Web Application Firewall) を導入し、OAuth 認証リクエストの URL に機密情報が含まれていないか監視することで、攻撃を早期に検知し、防御することができます。攻撃の兆候を検知するために、OAuth 認証関連のログを監視し、異常なアクセスパターンを検出するアラートを設定することを推奨します。アップデート後、認証情報が正しく保護されていることを確認するために、OAuth 認証フローをテストしてください。

修正方法翻訳中…

Actualice a la versión corregida para mitigar la divulgación de credenciales. La vulnerabilidad se debe a la exposición de datos sensibles en la cadena de consulta de la URL de autorización.  Verifique y fortalezca la implementación de OAuth para evitar la exposición de información confidencial en las URL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-3691 とは何ですか？（OpenClaw Client の Information Disclosure）

OpenClaw Client における情報漏洩の脆弱性で、OAuth 認証フローの処理における不備が原因で、攻撃者が保存された認証情報を盗み出す可能性があります。

OpenClaw Client の CVE-2026-3691 による影響を受けていますか？

OpenClaw Client のバージョンが 2026.2.21 の場合、影響を受ける可能性があります。

OpenClaw Client の CVE-2026-3691 を修正するにはどうすればよいですか？

OpenClaw Client を最新バージョンにアップデートしてください。アップデートが利用できない場合は、一時的な対策として、OAuth 認証フローの処理を停止するか、URL に機密情報を含まないように設定を変更してください。

CVE-2026-3691 は積極的に悪用されていますか？

現時点では、CVE-2026-3691 を悪用した具体的な攻撃事例は報告されていませんが、今後悪用される可能性は否定できません。

CVE-2026-3691 に関する OpenClaw Client の公式アドバイザリはどこで確認できますか？

NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで、CVE-2026-3691 に関する最新情報を確認できます。