プラットフォーム
nodejs
コンポーネント
openclaw
修正版
2026.3.13
CVE-2026-32917は、OpenClawのiMessage添付ファイルステージングフローにおけるリモートコマンドインジェクションの脆弱性です。この脆弱性により、攻撃者は設定されたリモートホスト上で任意のコマンドを実行できます。シェルメタ文字を含むサニタイズされていないリモート添付ファイルパスが、検証なしにSCPリモートオペランドに直接渡されるため、リモート添付ファイルステージングが有効になっている場合にコマンド実行が可能になります。影響を受けるバージョンは2026.3.13未満です。バージョン2026.3.13で修正されています。
CVE-2026-32917 は、2026.3.13 より前のバージョンの OpenClaw に影響を与え、リモートコマンドインジェクションの脆弱性を引き起こします。この欠陥は、iMessage 添付ステージングフロー内に存在します。攻撃者はこの脆弱性を悪用して、構成されたリモートホスト上で任意のコマンドを実行できます。この脆弱性の深刻度は CVSS スコア 9.8 で評価され、重大なリスクを示します。根本原因は、リモート添付パスのサニタイズの欠如です。これは、シェルメタ文字を含む場合があり、リモート添付ステージングが有効になっている場合に、検証なしで SCP リモートオペランドに直接渡されます。
この脆弱性は、iMessage 添付ステージングフローを通じて悪用されます。攻撃者は、シェルメタ文字を含むように設計された悪意のある添付ファイルを送信する可能性があります。リモート添付ステージングが有効になっている場合、OpenClaw は添付パス (悪意のある文字付き) を SCP コマンドに渡します。これにより、攻撃者はリモートサーバー上で任意のコマンドを実行できます。悪用の複雑さは比較的低く、認証を必要とせず、単純な悪意のある添付ファイルによってトリガーされる可能性があります。影響は高く、OpenClaw プロセスの特権でリモートコードの実行が可能になります。
Organizations utilizing OpenClaw with remote attachment staging enabled are at risk. This includes environments where OpenClaw is used for file sharing or collaboration, particularly those with less stringent security controls. Legacy OpenClaw deployments and systems with outdated configurations are also at increased risk.
disclosure
エクスプロイト状況
EPSS
0.59% (69% パーセンタイル)
CISA SSVC
CVE-2026-32917 を軽減するための解決策は、OpenClaw をバージョン 2026.3.13 以降にアップグレードすることです。このアップデートは、リモート添付パスの適切な検証を実装することにより、脆弱性を修正し、コマンドインジェクションを防止します。アップグレードを実行するまで、リモート添付ステージング機能を絶対に必要な場合に限り無効にすることを推奨します。システムログを監視して疑わしいアクティビティを検出し、潜在的な悪用試行に対応することも役立ちます。アップグレード後には、システムの安定性を確保するために徹底的なテストを実施することをお勧めします。
OpenClaw をバージョン 2026.3.13 以降にアップデートしてください。これにより、iMessage 添付ファイルのパスを SCP に渡す前に適切に検証することで、リモートコマンドインジェクション (Remote Command Injection) の脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
OpenClaw は、電子メールアカウントを管理するための Web インターフェイスを提供する電子メールサービス管理ソフトウェアです。
2026.3.13 より前のバージョンの OpenClaw を使用している場合は、脆弱です。システムにインストールされているバージョンを確認してください。
CVSS スコア 9.8 は、直ちに対応が必要な重大な脆弱性を示します。
リモート添付ステージング機能を無効にすることは、一時的な回避策です。
詳細については、OpenClaw の公式ドキュメントと業界のセキュリティリソースを参照してください。
CVSS ベクトル