無料スキャン
HIGHCVE-2026-32920CVSS 7.5

OpenClaw < 2026.3.12 - ワークスペースプラグインの自動検出による任意のコード実行

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.12

2026.3.12

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存

CVE-2026-32920は、OpenClawにおける任意コード実行の脆弱性です。OpenClawは、明示的な信頼検証なしに、.OpenClaw/extensions/からプラグインを自動的に検出してロードします。攻撃者は、ユーザーがディレクトリからOpenClawを実行する際に実行される、巧妙に作成されたワークスペースプラグインをクローンリポジトリに含めることで、悪意のあるコードを実行できます。影響を受けるバージョンは2026.3.12未満です。バージョン2026.3.12で修正されています。

影響と攻撃シナリオ

OpenClawのCVE-2026-32920脆弱性は、任意のコード実行を可能にします。OpenClawは、明示的な信頼またはインストールステップなしに、現在のワークスペース内の.openclaw/extensions/ディレクトリからプラグインを自動的に検出およびロードしました。悪意のあるリポジトリには、ユーザーがそのクローンされたディレクトリからOpenClawを実行するとすぐに実行されるように設計されたワークスペースプラグインが含まれている可能性があります。これは、攻撃者がユーザーのシステムを侵害する可能性があるため、重大なセキュリティリスクをもたらします。

悪用の状況

攻撃者は、悪意のあるコードを実行するように設計されたプラグインを含む悪意のあるリポジトリを作成できます。このリポジトリをクローンし、OpenClawを実行すると、プラグインが自動的にロードおよび実行され、攻撃者がユーザーのシステムを制御できるようになります。これは、ユーザーが不明または未検証のソースからリポジトリをクローンする環境で特に懸念されます。この脆弱性が簡単に悪用できるため、修正の優先事項となっています。

リスク対象者翻訳中…

Developers and users of OpenClaw who routinely clone repositories from untrusted sources are at the highest risk. This includes those working in environments where automated build processes or continuous integration pipelines pull code from external sources without adequate security checks. Shared hosting environments where multiple users have access to the same repository are also particularly vulnerable.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list openclaw

• nodejs / supply-chain:

  npm ls openclaw --depth=0

• generic web: Check for the existence of .openclaw/extensions/ directories in cloned repositories, especially those from untrusted sources.

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
レポート1 脅威レポート

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

影響を受けるソフトウェア

コンポーネントopenclaw
ベンダーosv
影響範囲修正版
0 – 2026.3.122026.3.12
2026.3.12

弱点分類 (CWE)

CWE-829

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策

この脆弱性を軽減するには、OpenClawをバージョン2026.3.12以降にアップデートしてください。このバージョンは、プラグインをロードする前に明示的な信頼検証を要求することで問題を修正します。さらに、信頼できないリポジトリまたは検証されていないリポジトリでOpenClawを実行しないでください。拡張ディレクトリへのアクセスを制限し、使用前にプラグインを手動で承認することを要求するセキュリティポリシーの実装を検討してください。アップデートが最も効果的で推奨される解決策です。

修正方法

OpenClaw をバージョン 2026.3.12 以降にアップデートしてください。これにより、.OpenClaw/extensions/ ディレクトリから検証されていないプラグインをロードする際の任意のコード実行が防止されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32920 とは何ですか?(openclaw)

OpenClawは、古いコンピュータゲームを最新のハードウェアで実行できるようにするソフトウェアです。

openclaw の CVE-2026-32920 による影響を受けていますか?

CVE-2026-32920は、このセキュリティ脆弱性のためのユニークな識別子です。

openclaw の CVE-2026-32920 を修正するにはどうすればよいですか?

OpenClawのバージョンが2026.3.11より前の場合は、影響を受けている可能性が高いです。

CVE-2026-32920 は積極的に悪用されていますか?

アップデートできるまで、信頼できないリポジトリでOpenClawを実行しないでください。

CVE-2026-32920 に関する openclaw の公式アドバイザリはどこで確認できますか?

現時点では、OpenClawの悪意のあるプラグインを検出するための特定のツールはありません。最新バージョンにアップデートすることが最良の防御です。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索