HIGHCVE-2026-32055CVSS 7.6

OpenClaw: ワークスペースパスガードのバイパス - ルート外の存在しないシンボリックリンクのリーフ

Q: CVE-2026-32055 in openclawを修正するにはどうすればよいですか？

openclawをバージョン2026.2.26以降にアップデートしてください。`npm install openclaw@latest`コマンドを使用するか、package.jsonファイルでバージョンを更新してください。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.2.26

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32055は、Node.jsパッケージのopenclawにおけるワークスペース境界バイパスの脆弱性です。この脆弱性を悪用されると、ワークスペース外にファイルを不正に作成できてしまう可能性があります。影響を受けるバージョンは2026.2.25以下であり、2026.2.26以降のバージョンで修正されています。早急なアップデートを推奨します。

影響と攻撃シナリオ

この脆弱性は、攻撃者がワークスペース外にファイルを書き込むことを可能にします。ワークスペースは通常、プロジェクトの依存関係や設定ファイルを隔離するために使用されます。攻撃者がこの脆弱性を悪用すると、ワークスペース外の重要なファイル（例えば、システムファイルや他のプロジェクトのファイル）を改ざんしたり、悪意のあるコードを挿入したりする可能性があります。これにより、システム全体のセキュリティが損なわれる可能性があります。類似の脆弱性は、ファイルシステム権限の不備から発生する可能性があり、攻撃者はこの脆弱性を利用して、より広範なシステムへのアクセスを試みる可能性があります。

悪用の状況

この脆弱性は、2026年3月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。npmの脆弱性スキャンツールで検出される可能性があります。

リスク対象者翻訳中…

Node.js projects utilizing the openclaw package, particularly those with relaxed workspace access controls or relying on symlinks for file management, are at risk. Shared hosting environments where multiple projects share the same file system are also potentially vulnerable.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list openclaw

• nodejs / supply-chain:

  npm audit

• nodejs / supply-chain:

  find node_modules -name "openclaw*" -type d -print0 | xargs -0 grep -i "workspace boundary"

攻撃タイムライン

2026-03-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.2.262026.2.26

—2026.2.26

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-10
公開日2026-03-12
更新日2026-03-30
EPSS 更新日2026-03-28

緩和策と回避策

この脆弱性への対応策として、まずopenclawをバージョン2026.2.26以降にアップデートすることを強く推奨します。アップデートが直ちに実行できない場合は、ワークスペースの境界を厳密に管理するファイルシステム権限を設定することで、攻撃の影響を軽減できます。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、ワークスペース外へのファイル書き込みを試みるリクエストをブロックすることも有効です。アップデート後、npm list openclawコマンドを実行し、バージョンが2026.2.26以降であることを確認してください。

修正方法翻訳中…

Actualice OpenClaw a la versión 2026.2.26 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos fuera del workspace a través de symlinks.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32055 — ワークスペース境界バイパスはopenclawで何ですか？

CVE-2026-32055は、Node.jsパッケージopenclawにおけるワークスペース境界バイパスの脆弱性です。攻撃者はこの脆弱性を悪用して、ワークスペース外にファイルを不正に作成できる可能性があります。

CVE-2026-32055 in openclawで影響を受けますか？

openclawのバージョンが2026.2.25以下を使用している場合、影響を受けます。バージョン2026.2.26以降にアップデートすることで、この脆弱性を解消できます。

CVE-2026-32055 in openclawを修正するにはどうすればよいですか？

openclawをバージョン2026.2.26以降にアップデートしてください。npm install openclaw@latestコマンドを使用するか、package.jsonファイルでバージョンを更新してください。

CVE-2026-32055は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。常に最新のセキュリティ情報を確認し、対策を講じることを推奨します。

CVE-2026-32055に関するopenclawの公式アドバイザリはどこで入手できますか？

openclawの公式アドバイザリは、npmの脆弱性情報ページで確認できます。https://www.npmjs.com/advisories/cve-2026-32055

OpenClaw: ワークスペースパスガードのバイパス - ルート外の存在しないシンボリックリンクのリーフ

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法翻訳中…

CVEセキュリティニュースレター

よくある質問

CVE-2026-32055 — ワークスペース境界バイパスはopenclawで何ですか？

CVE-2026-32055 in openclawで影響を受けますか？

CVE-2026-32055 in openclawを修正するにはどうすればよいですか？

CVE-2026-32055は積極的に悪用されていますか？

CVE-2026-32055に関するopenclawの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?