CVE-2026-34503

EPSS 0.03%
Veröffentlicht 31.03.2026 14:10:34
Zuletzt bearbeitet 02.04.2026 12:21:24
Quelle disclosure@vulncheck.com
CVE-Watchlists
Login
Unerledigt
Login

OpenClaw before 2026.3.28 fails to disconnect active WebSocket sessions when devices are removed or tokens are revoked. Attackers with revoked credentials can maintain unauthorized access through existing live sessions until forced reconnection.

Betroffene Produkte Warnungen 0 Metriken 3 CWE 1 Referenzen 6

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

OpenClaw ≫ OpenClaw SwPlatformnode.js Version < 2026.3.28

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.03%	0.09

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
disclosure@vulncheck.com	8.1	2.8	5.2	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
disclosure@vulncheck.com	8.6	0	0	CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-613 Insufficient Session Expiration

According to WASC, "Insufficient Session Expiration is when a web site permits an attacker to reuse old session credentials or session IDs for authorization."

https://github.com/openclaw/openclaw/security/advisories/GHSA-2pr2-hcv6-7gwv

Vendor Advisory

https://github.com/openclaw/openclaw/commit/7a801cc451e9e667b705eeccff651923a1b8c863

Patch

https://www.vulncheck.com/advisories/openclaw-incomplete-websocket-session-termination-on-device-removal-and-token-revocation

Third Party Advisory

https://nvd.nist.gov/vuln/detail/CVE-2026-34503

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2026-34503

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2026-34503

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2026-34503