HIGHCVE-2026-26324CVSS 7.5

OpenClaw には、フルフォーム IPv4-mapped IPv6 (loopback / metadata に到達可能) を介した SSRF ガードの回避の脆弱性があります

Q: CVE-2026-26324 — SSRF in openclawとは何ですか？

CVE-2026-26324は、Node.jsパッケージopenclawのSSRF保護をバイパスする脆弱性です。攻撃者は、特定のIPv6リテラルを使用して、本来ブロックされるべき内部リソースへのアクセスを許可される可能性があります。

Q: CVE-2026-26324 in openclawの影響はありますか？

はい、openclawのバージョン2026.2.13以下を使用している場合は影響を受けます。内部ネットワークへの不正アクセスや機密情報の漏洩のリスクがあります。

Q: CVE-2026-26324 in openclawを修正するにはどうすればよいですか？

openclawをバージョン2026.2.14以降にアップデートしてください。アップデートが困難な場合は、WAFやリバースプロキシでIPv6リテラルをブロックするルールを実装してください。

Q: CVE-2026-26324は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後悪用される可能性は否定できません。

Q: CVE-2026-26324に関するopenclawの公式アドバイザリはどこで入手できますか？

openclawの公式アドバイザリは、プロジェクトのGitHubリポジトリで確認できます。https://github.com/openclaw/openclaw

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.2.15

2026.2.14

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-26324は、Node.jsパッケージopenclawにおけるSSRF（サーバーサイドリクエストフォワード）脆弱性です。この脆弱性は、openclawのSSRF保護メカニズムをバイパスし、本来ブロックされるべきリクエスト（ループバック、プライベートネットワーク、リンクローカルメタデータなど）を通過させる可能性があります。影響を受けるバージョンは2026.2.13以下であり、2026.2.14以降のバージョンで修正される予定です。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は内部ネットワーク上の機密情報にアクセスしたり、内部サービスを不正に利用したりする可能性があります。例えば、メタデータサーバーへのアクセスを試みたり、内部APIを呼び出したりすることで、システムに関する情報を収集したり、機密データを窃取したりすることが考えられます。また、この脆弱性は、攻撃者が内部ネットワークに侵入するための足がかりとして利用される可能性もあります。OpenClawのSSRF保護の不備は、他の同様のSSRF脆弱性と同様に、機密情報の漏洩や、さらなる攻撃への踏み台となるリスクを孕んでいます。

悪用の状況

この脆弱性は、2026年2月17日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照し、最新の状況を把握するようにしてください。

リスク対象者翻訳中…

Applications utilizing the OpenClaw Node.js package in production environments are at risk. Specifically, deployments that rely on OpenClaw for SSRF protection and expose internal services are particularly vulnerable. Developers using older versions of OpenClaw (<= 2026.2.13) should prioritize upgrading to the patched version.

検出手順翻訳中…

• nodejs / server:

  npm list openclaw

• nodejs / server:

  npm audit openclaw

• generic web: Review access logs for outbound requests containing IPv4-mapped IPv6 literals (e.g., 0:0:0:0:0:ffff:7f00:1). • generic web: Monitor application logs for unusual outbound requests to internal resources.

攻撃タイムライン

2026-02-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

< 2026.2.14 – < 2026.2.142026.2.15

—2026.2.14

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-02-13
公開日2026-02-17
更新日2026-02-20
EPSS 更新日2026-03-23

緩和策と回避策

修正版の2026.2.14へのアップデートが推奨されます。アップデートが直ちに実行できない場合は、一時的な回避策として、WAF（Web Application Firewall）やリバースプロキシで、IPv6リテラルを使用したリクエストをブロックするルールを実装することを検討してください。また、openclawの設定で、許可するプロトコルやドメインを厳密に制限することも有効です。アップデート後、SSRF保護が正しく機能していることを確認するために、内部リソースへのアクセスを試みるテストを実施してください。

修正方法

OpenClaw をバージョン 2026.2.14 以降にアップデートしてください。このバージョンは、IPv4 にマッピングされた IPv6 リテラルを介した保護の回避を可能にする SSRF 脆弱性を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-26324 — SSRF in openclawとは何ですか？