HIGHCVE-2026-28447CVSS 8.1

OpenClaw にはプラグインインストールにおける Path Traversal の脆弱性があります

Q: CVE-2026-28447 — パストラバーサルはopenclawで何ですか？

CVE-2026-28447は、openclawのプラグインインストールパスの導出における脆弱性で、悪意のあるプラグインがファイルシステムに不正に書き込む可能性があります。

Q: CVE-2026-28447 in openclawで影響を受けますか？

openclawのバージョンが2026.1.20以降、2026.2.1未満の場合は影響を受けます。

Q: CVE-2026-28447 in openclawを修正するにはどうすればよいですか？

openclawをバージョン2026.2.1以降にアップデートしてください。

Q: CVE-2026-28447は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性はあります。

Q: CVE-2026-28447のopenclaw公式アドバイザリはどこで入手できますか？

npmのパッケージページ（https://www.npmjs.com/package/openclaw）を参照してください。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.2.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-28447は、Node.jsパッケージであるopenclawにおけるパストラバーサル脆弱性です。この脆弱性は、悪意のあるプラグインのpackage.jsonのnameフィールドを悪用することで、意図された拡張ディレクトリから抜け出し、親ディレクトリにファイルを書き込むことを可能にします。影響を受けるバージョンは、2026.1.20以降、2026.2.1未満です。2026.2.1以降に修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はopenclawのプラグインインストールディレクトリから抜け出し、ファイルシステム上の任意の場所にファイルを書き込むことが可能になります。これにより、システム設定ファイルの改ざん、悪意のあるコードの実行、機密情報の窃取など、深刻な被害が発生する可能性があります。特に、openclawを基盤としたアプリケーションやサービスを利用している環境では、システム全体のセキュリティが脅かされるリスクがあります。この脆弱性の悪用は、類似のパストラバーサル攻撃と同様に、システムへの完全なアクセス権を奪取する可能性があります。

悪用の状況

この脆弱性は、2026年2月17日に公開されました。現時点では、公開されているPoCは確認されていませんが、パストラバーサル脆弱性であるため、悪用コードが公開される可能性はあります。CISA KEVリストへの登録状況は不明ですが、パストラバーサル脆弱性は一般的に悪用される可能性が高いため、注意が必要です。NVDデータベースも参照し、最新の情報を確認することをお勧めします。

リスク対象者翻訳中…

Developers and organizations using OpenClaw for plugin-based extensions are at risk. This includes those who automatically install plugins from untrusted sources or lack robust input validation on plugin names. Shared hosting environments where multiple users can install plugins are particularly vulnerable, as a malicious plugin installed by one user could potentially impact other users on the same server.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list openclaw

Check the installed version against the affected range (>= 2026.1.20, < 2026.2.1). • nodejs / supply-chain:

  find node_modules -name 'package.json' -print0 | xargs -0 grep -i 'name: @ma'

Search for plugins with suspicious names containing '@ma' or similar patterns. • generic web: Inspect plugin installation directories for unexpected files or modifications.

攻撃タイムライン

2026-02-17Disclosure
disclosure
2026-02-14Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

2026.1.29-beta.1 – 2026.2.12026.2.1

2026.1.202026.2.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-27
公開日2026-02-17
更新日2026-03-13
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応として、まずopenclawをバージョン2026.2.1以降にアップデートすることを推奨します。アップデートが困難な場合は、プラグインのインストールディレクトリへのアクセスを制限するファイアウォールルールやプロキシ設定を検討してください。また、信頼できないソースからのプラグインのインストールを避けるように注意し、プラグインのインストール前にその内容を慎重に確認することが重要です。アップデート後、npm list openclawコマンドを実行し、バージョンが2026.2.1以降であることを確認してください。

修正方法翻訳中…

Actualice OpenClaw a la versión 2026.2.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la instalación de plugins. La actualización evitará que atacantes escriban archivos fuera del directorio de extensiones previsto.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-28447 — パストラバーサルはopenclawで何ですか？