OpenClaw < 2026.2.14 - TARアーカイブ抽出におけるZip Slip Path Traversal

このPath Traversal脆弱性は、攻撃者がOpenClawがTARアーカイブを処理する際に、ファイルシステム内の任意の場所にファイルを書き込むことを可能にします。攻撃者は、../../のようなパス操作シーケンスを含む悪意のあるアーカイブを作成することで、抽出境界外にファイルを書き込むことができます。これにより、攻撃者は重要な設定ファイルを上書きしたり、悪意のあるコードをシステムに挿入したりすることが可能になります。設定ファイルの改ざんは、システムの動作を妨害したり、機密情報を盗み出したりする可能性があります。悪意のあるコードの挿入は、リモートコード実行（RCE）につながる可能性があり、攻撃者がシステムを完全に制御できるようになる可能性があります。この脆弱性の影響範囲は広範囲に及び、システム全体のセキュリティを脅かす可能性があります。

Systems running OpenClaw versions 0 through 2026.2.14 are at risk, particularly those that process untrusted TAR archives. Environments where OpenClaw is used to process user-uploaded files or data from external sources are especially vulnerable.

1. 2026-03-05Disclosure

   disclosure

1. 予約済み2026-02-27
2. 公開日2026-03-05
3. 更新日2026-03-09
4. EPSS 更新日2026-03-23

OpenClawのバージョンを2026.2.14以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートできない場合は、TARアーカイブの処理を一時的に停止するか、信頼できないソースからのアーカイブの処理を制限することを検討してください。Webアプリケーションファイアウォール（WAF）やリバースプロキシを使用して、悪意のあるパス操作シーケンスを含むリクエストをブロックすることも有効です。また、ファイルシステムのアクセス制御を強化し、OpenClawが書き込み可能なディレクトリへのアクセスを制限することも推奨されます。