HIGHCVE-2026-27523CVSS 7.5

OpenClawのサンドボックスバインド検証において、symlink-parentとmissing-leafパスを介してallowed-rootとblocked-pathチェックを回避できる

Q: CVE-2026-27523のopenclawを修正するにはどうすればよいですか？

openclawをバージョン2026.2.24以降にアップデートしてください。npmを使用してアップデートできます: `npm install openclaw@latest`。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.2.24

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-27523は、Node.jsパッケージopenclawにおいて、bind-source検証の脆弱性です。この脆弱性は、symlinkを利用した攻撃により、サンドボックスを回避し、潜在的にシステムへのアクセスを可能にする可能性があります。影響を受けるバージョンは2026.2.23以前であり、バージョン2026.2.24以降で修正される予定です。

影響と攻撃シナリオ

この脆弱性は、攻撃者がopenclawのサンドボックスを回避し、本来アクセスできないファイルやリソースにアクセスすることを可能にします。攻撃者は、symlinkを利用して、存在しないファイルパスを指し示すことで、検証をバイパスできます。これにより、攻撃者はシステム上で任意のコードを実行したり、機密情報を盗み出したりする可能性があります。特に、openclawが重要なリソースを保護するために使用されている場合、この脆弱性の影響は甚大です。攻撃者は、この脆弱性を悪用して、システム全体の制御を奪うことも考えられます。

悪用の状況

この脆弱性は、2026年3月3日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。CISA KEVへの登録状況は不明です。npmの脆弱性スキャンツールなどで監視することをお勧めします。

リスク対象者翻訳中…

Applications and services utilizing openclaw to sandbox untrusted code or processes are at risk. This includes Node.js applications that rely on openclaw for isolation or security. Developers using openclaw in their projects should prioritize patching.

検出手順翻訳中…

• nodejs / server:

  npm list openclaw

• nodejs / server:

  grep -r 'validateBindMounts' /path/to/node_modules/openclaw/

• nodejs / supply-chain: Check package.json for dependencies on vulnerable versions of openclaw.

攻撃タイムライン

2026-03-03Disclosure
disclosure
2026-03-03Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.2.242026.2.24

—2026.2.24

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-19
公開日2026-03-03
更新日2026-03-18
EPSS 更新日2026-03-25

緩和策と回避策

バージョン2026.2.24以降へのアップデートが最も効果的な対策です。アップデートがすぐに利用できない場合は、openclawを使用するアプリケーションを一時的に停止するか、ファイアウォールでアクセスを制限することを検討してください。また、bind-sourceの検証ロジックを強化し、symlinkの展開を適切に行うことで、この脆弱性の影響を軽減できます。アップデート適用後、openclawの動作を検証し、想定通りにサンドボックスが機能していることを確認してください。

修正方法翻訳中…

Actualice OpenClaw a la versión 2026.2.24 o posterior. Esta versión corrige la vulnerabilidad de omisión de validación de enlace de sandbox. La actualización evitará que los atacantes eludan las comprobaciones de ruta bloqueada y raíz permitida.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-27523 — サンドボックスバイパスのopenclawとは何ですか？

CVE-2026-27523は、Node.jsパッケージopenclawのバージョン2026.2.23以前に存在する、bind-source検証の脆弱性です。攻撃者はsymlinkを利用してサンドボックスを回避し、システムへのアクセスを試みる可能性があります。

CVE-2026-27523のopenclawで影響は受けますか？

openclawのバージョンが2026.2.23以前を使用している場合、影響を受けます。バージョン2026.2.24以降にアップデートすることで、この脆弱性を修正できます。

CVE-2026-27523のopenclawを修正するにはどうすればよいですか？

openclawをバージョン2026.2.24以降にアップデートしてください。npmを使用してアップデートできます: npm install openclaw@latest。

CVE-2026-27523は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。常に最新のセキュリティ情報を確認し、対策を講じることを推奨します。

CVE-2026-27523のopenclaw公式のアドバイザリはどこで入手できますか？

openclawの公式アドバイザリは、npmのリリースノートまたはopenclawのGitHubリポジトリで確認できます。