HIGHCVE-2026-32920CVSS 7.5

OpenClaw < 2026.3.12 - ワークスペースプラグインの自動検出による任意のコード実行

Q: CVE-2026-32920 とは何ですか？（openclaw）

OpenClawは、古いコンピュータゲームを最新のハードウェアで実行できるようにするソフトウェアです。

Q: openclaw の CVE-2026-32920 による影響を受けていますか？

CVE-2026-32920は、このセキュリティ脆弱性のためのユニークな識別子です。

Q: openclaw の CVE-2026-32920 を修正するにはどうすればよいですか？

OpenClawのバージョンが2026.3.11より前の場合は、影響を受けている可能性が高いです。

Q: CVE-2026-32920 は積極的に悪用されていますか？

アップデートできるまで、信頼できないリポジトリでOpenClawを実行しないでください。

Q: CVE-2026-32920 に関する openclaw の公式アドバイザリはどこで確認できますか？

現時点では、OpenClawの悪意のあるプラグインを検出するための特定のツールはありません。最新バージョンにアップデートすることが最良の防御です。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.12

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32920は、OpenClawにおける任意コード実行の脆弱性です。OpenClawは、明示的な信頼検証なしに、.OpenClaw/extensions/からプラグインを自動的に検出してロードします。攻撃者は、ユーザーがディレクトリからOpenClawを実行する際に実行される、巧妙に作成されたワークスペースプラグインをクローンリポジトリに含めることで、悪意のあるコードを実行できます。影響を受けるバージョンは2026.3.12未満です。バージョン2026.3.12で修正されています。

影響と攻撃シナリオ

OpenClawのCVE-2026-32920脆弱性は、任意のコード実行を可能にします。OpenClawは、明示的な信頼またはインストールステップなしに、現在のワークスペース内の.openclaw/extensions/ディレクトリからプラグインを自動的に検出およびロードしました。悪意のあるリポジトリには、ユーザーがそのクローンされたディレクトリからOpenClawを実行するとすぐに実行されるように設計されたワークスペースプラグインが含まれている可能性があります。これは、攻撃者がユーザーのシステムを侵害する可能性があるため、重大なセキュリティリスクをもたらします。

悪用の状況

攻撃者は、悪意のあるコードを実行するように設計されたプラグインを含む悪意のあるリポジトリを作成できます。このリポジトリをクローンし、OpenClawを実行すると、プラグインが自動的にロードおよび実行され、攻撃者がユーザーのシステムを制御できるようになります。これは、ユーザーが不明または未検証のソースからリポジトリをクローンする環境で特に懸念されます。この脆弱性が簡単に悪用できるため、修正の優先事項となっています。

リスク対象者翻訳中…

Developers and users of OpenClaw who routinely clone repositories from untrusted sources are at the highest risk. This includes those working in environments where automated build processes or continuous integration pipelines pull code from external sources without adequate security checks. Shared hosting environments where multiple users have access to the same repository are also particularly vulnerable.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list openclaw

• nodejs / supply-chain:

  npm ls openclaw --depth=0

• generic web: Check for the existence of .openclaw/extensions/ directories in cloned repositories, especially those from untrusted sources.

攻撃タイムライン

2026-03-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.3.122026.3.12

—2026.3.12

弱点分類 (CWE)

CWE-829

タイムライン

予約済み2026-03-16
公開日2026-03-13
更新日2026-04-06
EPSS 更新日2026-04-07

緩和策と回避策

この脆弱性を軽減するには、OpenClawをバージョン2026.3.12以降にアップデートしてください。このバージョンは、プラグインをロードする前に明示的な信頼検証を要求することで問題を修正します。さらに、信頼できないリポジトリまたは検証されていないリポジトリでOpenClawを実行しないでください。拡張ディレクトリへのアクセスを制限し、使用前にプラグインを手動で承認することを要求するセキュリティポリシーの実装を検討してください。アップデートが最も効果的で推奨される解決策です。

修正方法

OpenClaw をバージョン 2026.3.12 以降にアップデートしてください。これにより、.OpenClaw/extensions/ ディレクトリから検証されていないプラグインをロードする際の任意のコード実行が防止されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32920 とは何ですか？（openclaw）