プラットフォーム
nodejs
コンポーネント
openclaw
修正版
2026.3.12
CVE-2026-32914 は、OpenClaw に存在する、設定アクセス制御の不備による脆弱性です。この脆弱性により、コマンド権限を持つ攻撃者は、所有者のみがアクセスできる設定を読み書きできます。影響を受けるバージョンは、0–2026.3.12 です。この問題は、バージョン 2026.3.12 で修正されました。
OpenClawのCVE-2026-32914は、CVSSスコア8.8で、2026.3.12以前のバージョンを実行しているシステムに重大なリスクをもたらします。この不十分なアクセス制御により、コマンド権限を持つオーナー以外のユーザーが、オーナーのみに制限されているサーフェスにアクセスできるようになります。つまり、コマンド権限を持つ攻撃者は、オーナーのみがアクセスできる特権設定を読み取ったり変更したりする可能性があり、システムの整合性と機密性を損なう可能性があります。この脆弱性の重大性は、その悪用しやすさと、OpenClawシステムへの潜在的な影響に起因します。
OpenClawシステムのオーナーではないコマンド権限を持つ攻撃者は、この脆弱性を悪用できます。これは、他の手段でアクセスを取得した限られた権限を持つユーザー、またはコマンド権限を持つアカウントを侵害した外部攻撃者である可能性があります。攻撃者は、次に/configおよび/debugコマンドを使用して、パスワード、APIキー、または重要な構成パラメータなどの機密構成を読み取ったり変更したりする可能性があります。オーナーレベルの権限チェックがないため、この不正アクセスが可能になり、重大なセキュリティリスクをもたらします。
Organizations deploying OpenClaw in environments where command authorization is broadly granted are at risk. This includes systems with shared accounts or where user access controls are not strictly enforced. Environments utilizing OpenClaw for critical infrastructure or sensitive data processing are particularly vulnerable.
disclosure
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
CISA SSVC
CVE-2026-32914を軽減するための最も効果的な方法は、OpenClawをバージョン2026.3.12以降にアップグレードすることです。このアップデートには、適切なアクセス制御を実装し、オーナーサーフェスへの不正アクセスを防ぐための必要な修正が含まれています。その間は、/configおよび/debugコマンドへのアクセスを、承認されたオーナーユーザーのみに制限してください。これらのコマンドに関連する疑わしいアクティビティについてシステムログを定期的に監視することも、潜在的な悪用試行を検出および対応するのに役立ちます。この脆弱性からOpenClawシステムを保護するために、アップデートを迅速に適用することが重要です。
OpenClaw をバージョン 2026.3.12 以降にアップデートしてください。 このバージョンでは、/config および /debug エンドポイントにおける不十分なアクセス制御の脆弱性が修正されています。
脆弱性分析と重要アラートをメールでお届けします。
OpenClawでは、「オーナー」は最高の権限を持ち、システム全体を完全に制御するユーザーです。オーナーのみが、コア構成の変更や機密情報のアクセスなど、特定の操作を実行できます。
管理インターフェースのバージョン情報またはOpenClawシステム内の特定のコマンドを実行することで、使用しているOpenClawのバージョンを確認できます。
すぐにアップグレードできない場合は、/configおよび/debugコマンドへのアクセスを承認されたオーナーユーザーのみに制限してください。システムログを定期的に監視して、疑わしいアクティビティがないか確認してください。
攻撃者は、パスワード、APIキー、重要な構成パラメータ、システム構成に保存されているその他の機密データを侵害する可能性があります。
National Vulnerability Database (NVD)などの脆弱性データベースまたはOpenClawの公式ドキュメントで、CVE-2026-32914に関する詳細情報を入手できます。
CVSS ベクトル