HIGHCVE-2026-32033CVSS 7.5

OpenClaw は、@プレフィックス付き絶対パスに対してワークスペース専用のサンドボックスガード不一致を抱えています

Q: CVE-2026-32033 in OpenClawを修正するにはどうすればよいですか？

OpenClawをバージョン2026.2.24以降にアップデートしてください。アップデートできない場合は、`tools.fs.workspaceOnly`設定を無効にすることを検討してください。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.2.24

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32033は、OpenClawにおけるファイルシステム境界バイパスの脆弱性です。この脆弱性は、特定の条件下でワークスペース外のファイルへのアクセスを許可する可能性があります。影響を受けるバージョンはOpenClawの初期バージョンです。2026年2月24日以降のバージョンで修正されています。

影響と攻撃シナリオ

この脆弱性は、tools.fs.workspaceOnly=trueが設定されている場合に、@-プレフィックス付きの絶対パス（例：@/etc/passwd）が、実行時のパス処理で正規化される前に境界検証を通過する可能性があります。これにより、攻撃者は意図されたワークスペースの境界を越えて、ファイルシステム上の機密情報にアクセスしたり、システムを操作したりする可能性があります。OpenClawが信頼されたユーザーを前提としているため、この脆弱性の影響は限定的である可能性がありますが、セキュリティ設定が不十分な環境では、重大なリスクとなる可能性があります。

悪用の状況

この脆弱性は、2026年3月3日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、OpenClawの構成設定を悪用し、ワークスペース外のファイルにアクセスしようとする可能性があります。

リスク対象者翻訳中…

Users who have enabled tools.fs.workspaceOnly=true in their OpenClaw configuration and are running versions prior to 2026.2.24 are at increased risk. This includes developers and users who rely on OpenClaw for personal-assistant runtime tasks and have configured it with non-default sandbox/tooling settings.

検出手順翻訳中…

• nodejs: Monitor OpenClaw process arguments for suspicious @-prefixed absolute paths. Use ps aux | grep claw to identify running processes and examine their command-line arguments for patterns like @/etc/passwd.

ps aux | grep claw | grep '@'

• generic web: Examine access logs for requests containing @-prefixed absolute paths. Look for patterns like /tools/some_tool?path=@/etc/passwd.

grep '@/etc/passwd' /var/log/apache2/access.log

攻撃タイムライン

2026-03-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.05% (17% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.2.242026.2.24

—2026.2.24

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-10
公開日2026-03-03
更新日2026-03-25
EPSS 更新日2026-03-27

緩和策と回避策

OpenClawのバージョンを2026.2.24以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートできない場合は、tools.fs.workspaceOnly設定を無効にすることを検討してください。ただし、この設定変更はセキュリティに影響を与える可能性があるため、十分な検討が必要です。また、WAFやプロキシサーバーを使用して、悪意のあるパスのアクセスをブロックすることも有効です。OpenClawのセキュリティガイドラインに従い、最小限の権限でOpenClawを実行するように設定してください。

修正方法翻訳中…

Actualice OpenClaw a la versión 2026.2.24 o posterior. Esta versión corrige la vulnerabilidad de path traversal al validar correctamente las rutas con prefijo @ dentro del límite del espacio de trabajo.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32033 — ファイルシステム境界バイパス in OpenClawとは何ですか？

CVE-2026-32033は、OpenClawにおけるファイルシステム境界バイパスの脆弱性で、特定の条件下でワークスペース外のファイルへのアクセスを許可する可能性があります。

CVE-2026-32033 in OpenClawに影響を受けますか？

OpenClawの初期バージョンを使用している場合は、影響を受ける可能性があります。2026.2.24以降のバージョンにアップデートすることで、この脆弱性を修正できます。

CVE-2026-32033 in OpenClawを修正するにはどうすればよいですか？

OpenClawをバージョン2026.2.24以降にアップデートしてください。アップデートできない場合は、tools.fs.workspaceOnly設定を無効にすることを検討してください。

CVE-2026-32033は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性があります。

CVE-2026-32033に関するOpenClawの公式アドバイザリはどこで入手できますか？

OpenClawのセキュリティガイドラインを参照してください。https://example.com/openclaw-security