UNKNOWNCVE-2026-32917
CVE-2026-32917: OpenClaw コマンドインジェクション (CVSS 9.8)
プラットフォーム
other
コンポーネント
openclaw
修正バージョン
2026.3.13
CVE-2026-32917は、OpenClawのiMessage添付ファイルステージングフローにおけるリモートコマンドインジェクションの脆弱性です。この脆弱性により、攻撃者は設定されたリモートホスト上で任意のコマンドを実行できます。シェルメタ文字を含むサニタイズされていないリモート添付ファイルパスが、検証なしにSCPリモートオペランドに直接渡されるため、リモート添付ファイルステージングが有効になっている場合にコマンド実行が可能になります。影響を受けるバージョンは2026.3.13未満です。バージョン2026.3.13で修正されています。
修正方法
OpenClaw をバージョン 2026.3.13 以降にアップデートしてください。これにより、iMessage 添付ファイルのパスを SCP に渡す前に適切に検証することで、リモートコマンドインジェクション (Remote Command Injection) の脆弱性が修正されます。
よくある質問
CVE-2026-32917とは何ですか?
OpenClawのiMessage添付ファイルステージングフローにおけるリモートコマンドインジェクションの脆弱性です。
この脆弱性の影響を受けますか?
OpenClawのバージョンが2026.3.13未満の場合、影響を受ける可能性があります。
どのように修正できますか?
OpenClawをバージョン2026.3.13にアップデートしてください。