CVE-2026-32041: Authentication Bypass in OpenClaw

この脆弱性を悪用されると、ローカルプロセス、またはSSRF（Server-Side Request Forgery）経由で認証なしにブラウザ制御ルートにアクセスできてしまいます。これにより、攻撃者はevaluate機能など、ブラウザの実行環境を操作できる機能にアクセスし、JavaScriptコードの実行や、機密情報の窃取、さらにはシステムへの不正なアクセスを試みる可能性があります。特に、OpenClawが内部ネットワークに露出している場合、外部からの攻撃リスクも考慮する必要があります。攻撃者は、ブラウザ制御ルートを介して、OpenClawの内部構造を調査し、他の脆弱性を発見する可能性もあります。

Organizations deploying OpenClaw in environments with potential SSRF vulnerabilities are at the highest risk. This includes deployments where the OpenClaw instance has access to internal services or resources that could be leveraged for SSRF attacks. Shared hosting environments where multiple users share the same OpenClaw instance are also at increased risk.

• nodejs / server:

  ps aux | grep openclaw

• nodejs / server:

  npm list -g openclaw

• nodejs / server:

  journalctl -u openclaw --since "1 hour ago"

• generic web:

  curl -I http://<openclaw_host>/browser-control/evaluate

• generic web:

  grep -r "browser-control/evaluate" /var/log/nginx/access.log

1. 2026-03-02Disclosure

   disclosure

1. 予約済み2026-03-10
2. 公開日2026-03-02
3. 更新日2026-03-30
4. EPSS 更新日2026-03-27

OpenClawのバージョンを2026.3.1以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、ブラウザ制御ルートへのアクセスを制限するファイアウォールルールやWAF（Web Application Firewall）の設定を検討してください。また、OpenClawの起動時に明示的な認証情報を設定し、自動認証の試行を無効化することで、脆弱性の悪用を防止できます。アップデート後、ブラウザ制御ルートへのアクセスを試み、認証が要求されることを確認することで、修正が正しく適用されていることを検証できます。