HIGHCVE-2026-26321CVSS 7.5

OpenClawにおいて、Feishu拡張機能のsendMediaFeishuにローカルファイルディスクロージャの脆弱性があります

Q: CVE-2026-26321 — ローカルファイル読み込み脆弱性はOpenClawで何ですか？

CVE-2026-26321は、OpenClawの`sendMediaFeishu`機能におけるローカルファイル読み込み脆弱性です。攻撃者は、`mediaUrl`パラメータを操作し、ローカルファイルを読み出す可能性があります。

Q: CVE-2026-26321はOpenClawで影響を受けますか？

OpenClawのバージョンが2026.2.14より前である場合、CVE-2026-26321の影響を受けます。バージョン2026.2.14以降にアップデートすることで、この脆弱性を解消できます。

Q: CVE-2026-26321はOpenClawでどのように修正しますか？

OpenClawをバージョン2026.2.14以降にアップデートすることで、CVE-2026-26321を修正できます。

Q: CVE-2026-26321は積極的に悪用されていますか？

現時点では、CVE-2026-26321を悪用した具体的な攻撃事例は報告されていません。

Q: CVE-2026-26321に関するOpenClawの公式アドバイザリはどこで入手できますか？

OpenClawの公式アドバイザリは、OpenClawの公式ウェブサイトまたは関連するセキュリティ情報源で確認できます。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.2.15

2026.2.14

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-26321は、OpenClawのsendMediaFeishu機能におけるローカルファイル読み込み脆弱性です。攻撃者が制御可能なmediaUrl値をローカルファイルシステムパスとして扱い、直接読み込んでしまう可能性があります。この脆弱性は、OpenClawのバージョン2026.2.14より前に影響があり、2026年2月17日に公開されました。バージョン2026.2.14以降に修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はOpenClawのプロンプトインジェクションなどを通じて、mediaUrlパラメータに/etc/passwdなどのローカルファイルパスを注入できます。OpenClawは、このパラメータをローカルファイルシステムパスとして解釈し、指定されたファイルを読み込んでしまうため、攻撃者は機密情報（ユーザー名、パスワードハッシュなど）を盗み出すことが可能になります。攻撃範囲は、OpenClawが実行されているサーバーに限定されますが、機密情報の漏洩は重大な影響を及ぼす可能性があります。類似の脆弱性は、ファイルパスの検証不備によって発生することがあります。

悪用の状況

CVE-2026-26321は、2026年2月17日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、プロンプトインジェクション攻撃との組み合わせにより、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Applications and systems utilizing the OpenClaw Node.js extension, particularly those with prompt injection vulnerabilities or inadequate input validation, are at risk. This includes environments where the extension is used to process user-supplied data or interact with external services.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list opencLaw

• nodejs / supply-chain:

  npm audit opencLaw

• generic web:

  curl -I 'http://your-application/sendMediaFeishu' # Check for endpoint exposure

攻撃タイムライン

2026-02-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.03% (7% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

< 2026.2.14 – < 2026.2.142026.2.15

—2026.2.14

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-13
公開日2026-02-17
更新日2026-02-20
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への主な対策は、OpenClawをバージョン2026.2.14以降にアップデートすることです。アップデートが利用できない場合は、一時的な回避策として、sendMediaFeishu機能の使用を制限するか、mediaUrlパラメータの入力を厳密に検証するWAFルールを導入することを検討してください。また、OpenClawのログを監視し、異常なファイルアクセスを検出するためのシグネチャを実装することも有効です。アップデート後、sendMediaFeishu機能が正常に動作することを確認してください。

修正方法翻訳中…

Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de divulgación de archivos locales al restringir el acceso directo a archivos locales y utilizar helpers reforzados para la carga de medios.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-26321 — ローカルファイル読み込み脆弱性はOpenClawで何ですか？

CVE-2026-26321は、OpenClawのsendMediaFeishu機能におけるローカルファイル読み込み脆弱性です。攻撃者は、mediaUrlパラメータを操作し、ローカルファイルを読み出す可能性があります。

CVE-2026-26321はOpenClawで影響を受けますか？