無料スキャン
HIGHCVE-2026-32978CVSS 8

OpenClawの脆弱性 (CVE-2026-32978): 承認の整合性

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.11

2026.3.11

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年3月
NVDで見る
保存

CVE-2026-32978は、OpenClawにおける承認の整合性に関する脆弱性です。この脆弱性により、システム.runの承認が特定のスクリプトランナーで失敗し、攻撃者がスクリプトを改ざんできます。影響を受けるバージョンは0~2026.3.11です。攻撃者は、承認されたコンテキストで改ざんされたコードを実行できます。この問題は、バージョン2026.3.11で修正されました。

影響と攻撃シナリオ

CVE-2026-32978 は、openclaw において、承認済みの環境内で攻撃者が悪意のあるコードを実行することを可能にします。具体的には、node-host の system.run 承認システムは、tsxjiti などのスクリプトランナーを使用する場合、可変ファイルオペランドを正しくバインドしません。これにより、攻撃者は一見無害なスクリプトランナーコマンドの承認を取得し、ディスク上の参照スクリプトを書き換え、承認済みの実行コンテキスト内で変更されたコードを実行できるようになります。system.run がスクリプトの整合性を確保するために使用されている環境では、このセキュリティメカニズムが侵害されているため、リスクは特に高くなります。

悪用の状況

この脆弱性の悪用には、openclaw が実行されているシステムへのアクセスと、ディスク上のファイルを変更する機能が必要です。攻撃者は、無害なスクリプトランナーの初期承認を取得できる場合に、この脆弱性を悪用する可能性があります。承認されると、攻撃者は元のスクリプトを悪意のあるバージョンに置き換え、承認済みの実行コンテキストでそのバージョンを実行します。悪用の複雑さは、システム内の既存のセキュリティ対策(ファイル権限やアクセス制御ポリシーなど)に依存します。system.run が重要なスクリプトの実行に信頼されている環境では、この脆弱性はより深刻です。

リスク対象者翻訳中…

Organizations heavily reliant on openclaw for Node.js host management, particularly those using system.run for automated scripting and deployments, are at significant risk. Environments with lax file access controls or shared hosting configurations where multiple users can potentially modify script files are especially vulnerable.

検出手順翻訳中…

• nodejs / supply-chain:

Get-Process -Name openclaw | Select-Object -ExpandProperty Path

• nodejs / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*openclaw*'} | Select-Object -ExpandProperty Actions

• nodejs / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='openclaw'" -Newest 10

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート3 件の脅威レポート

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H8.0HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityHigh悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
高 — 競合条件、非標準設定、または特定の状況が必要。悪用が難しい。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントopenclaw
ベンダーosv
影響範囲修正版
0 – 2026.3.112026.3.11
2026.3.11

弱点分類 (CWE)

CWE-863

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

CVE-2026-32978 の解決策は、openclaw をバージョン 2026.3.11 以降にアップグレードすることです。このバージョンは、ファイルオペランドのバインドエラーを修正し、system.run コマンドで使用されるスクリプトが期待されるものであり、攻撃者によって変更されないことを保証します。特に本番環境では、このアップデートをできるだけ早く適用することをお勧めします。さらに、system.run 承認ポリシーを確認して、ベストセキュリティプラクティスが適用され、不正なコード実行のリスクが最小限に抑えられていることを確認してください。システムログを監視して、潜在的な攻撃を検出および対応するのにも役立ちます。

修正方法

OpenClaw をバージョン 2026.3.11 以降にアップデートしてください。 このバージョンでは、すべてのスクリプトランナーに対して可変ファイルオペランドを正しく検証することにより、承認バイパスの脆弱性が修正されています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32978 とは何ですか?(openclaw)

openclaw は、Node.js 環境でスクリプトを管理および実行するためのツールです。

openclaw の CVE-2026-32978 による影響を受けていますか?

openclaw のバージョンを確認してください。2026.3.11 より前のバージョンを使用している場合は、脆弱性があります。

openclaw の CVE-2026-32978 を修正するにはどうすればよいですか?

使用されているスクリプトランナーによって実行できるコード(例:システムコマンド、ファイルアクセスなど)。

CVE-2026-32978 は積極的に悪用されていますか?

system.run 関数を一時的に無効にするか、スクリプトランナーで使用されるファイル権限を制限することで、リスクを軽減できますが、最適な解決策ではありません。

CVE-2026-32978 に関する openclaw の公式アドバイザリはどこで確認できますか?

openclaw の公式ドキュメントと関連するセキュリティリソースを参照して、最新情報を入手してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索