HIGHCVE-2026-28393CVSS 7.7

OpenClaw 2.0.0-beta3 < 2026.2.14 - フック変換パストラバーサルによる任意のJavaScriptモジュール読み込み

Q: CVE-2026-28393 — Path Traversal in OpenClawとは何ですか？

CVE-2026-28393は、OpenClawのhook transformモジュールロードにおけるPath Traversalの脆弱性です。攻撃者は、この脆弱性を悪用して、任意のJavaScriptコードを実行できます。

Q: CVE-2026-28393 in OpenClawの影響はありますか？

OpenClawのバージョン2.0.0-beta3から2026.2.14を使用している場合は、影響を受ける可能性があります。攻撃者は、この脆弱性を悪用して、システム上で任意のコードを実行する可能性があります。

Q: CVE-2026-28393 in OpenClawを修正するにはどうすればよいですか？

OpenClawをバージョン2026.2.14以降にアップデートしてください。アップデートが困難な場合は、設定ファイルのアクセス権を制限し、WAFを導入するなど、緩和策を講じてください。

Q: CVE-2026-28393は積極的に悪用されていますか？

現時点では、公的なPoCは確認されていませんが、Path Traversalの脆弱性は悪用が容易であり、今後積極的に悪用される可能性があります。

Q: CVE-2026-28393に関するOpenClawの公式アドバイザリはどこで入手できますか？

OpenClawの公式アドバイザリは、OpenClawのウェブサイトまたは関連するセキュリティ情報サイトで確認できます。

プラットフォーム

javascript

コンポーネント

openclaw

修正版

2026.2.14

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-28393は、OpenClawのhook transformモジュールロードにおけるPath Traversalの脆弱性です。この脆弱性により、攻撃者は設定書き込みアクセス権を利用して、任意のJavaScriptコードを実行することが可能です。影響を受けるバージョンは2.0.0-beta3から2026.2.14です。2026.2.14へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がOpenClawの設定ファイルを改ざんし、悪意のあるJavaScriptモジュールをロードすることで、システム上で任意のコードを実行することを可能にします。攻撃者は、gateway processの権限を悪用し、機密情報の窃取、システムの改ざん、さらには完全な制御の奪取といった深刻な被害をもたらす可能性があります。この脆弱性は、OpenClawのセキュリティを根底から揺るがす重大な脅威であり、迅速な対応が求められます。類似の脆弱性は、設定ファイルの不適切な検証により発生することが多く、他のアプリケーションでも同様の脆弱性が存在する可能性があります。

悪用の状況

CVE-2026-28393は、2026年3月5日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、Path Traversalの脆弱性は悪用が容易であり、今後積極的に悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、OpenClawの設定ファイルを改ざんし、悪意のあるJavaScriptモジュールをロードすることで、システム上で任意のコードを実行する可能性があります。

リスク対象者翻訳中…

Organizations and individuals using OpenClaw, particularly those with publicly accessible instances or those who allow external users to modify configuration files, are at risk. Environments where OpenClaw is integrated with other systems or services are also at increased risk due to the potential for lateral movement.

検出手順翻訳中…

• javascript: Examine OpenClaw configuration files for suspicious entries in the hooks.mappings[].transform.module parameter, particularly those containing absolute paths or traversal sequences (e.g., ../). • javascript: Monitor OpenClaw logs for errors or warnings related to module loading failures, which could indicate an attempted exploitation. • javascript: Use a debugger to step through the hook transform module loading process and identify any unexpected file access patterns.

攻撃タイムライン

2026-03-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.10% (27% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーOpenClaw

影響範囲修正版

2.0.0-beta3 – 2026.2.142026.2.14

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-27
公開日2026-03-05
更新日2026-03-11
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、OpenClawをバージョン2026.2.14以降にアップデートすることです。アップデートが困難な場合は、設定ファイルのアクセス権を厳格に制限し、信頼できるソースからのモジュールのみをロードするように構成してください。また、WAF（Web Application Firewall）を導入し、Path Traversal攻撃を検知・防御することも有効です。攻撃者の侵入を早期に検知するために、ログ監視を強化し、異常なファイルアクセスやJavaScriptコードの実行を監視してください。

修正方法

OpenClawをバージョン2026.2.14以降にアップデートしてください。このバージョンは、JavaScriptモジュールの読み込みにおけるパストラバーサル脆弱性を修正しています。アップデートすることで、任意のJavaScriptコードの実行を防ぐことができます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28393 — Path Traversal in OpenClawとは何ですか？