CRITICALCVE-2026-32924CVSS 9.8

OpenClaw < 2026.3.12 - Feishuにおける誤分類されたリアクションイベントによる認証バイパス

Q: CVE-2026-32924 とは何ですか？（OpenClaw）

OpenClawは、さまざまなツールやサービスを統合したコミュニケーションプラットフォームであり、Feishuのリアクション機能が含まれています。

Q: OpenClaw の CVE-2026-32924 による影響を受けていますか？

バージョン2026.3.12は、CVE-2026-32924を修正しており、認証バイパスを可能にし、グループチャットのセキュリティを損なう脆弱性です。

Q: OpenClaw の CVE-2026-32924 を修正するにはどうすればよいですか？

すぐにアップデートできない場合は、'groupAllowFrom'および'requireMention'のセキュリティ構成を確認し、OpenClawログを不審なアクティビティについて監視してください。

Q: CVE-2026-32924 は積極的に悪用されていますか？

2026.3.12より前のバージョンのOpenClawを使用している場合は、この脆弱性に対して脆弱です。

Q: CVE-2026-32924 に関する OpenClaw の公式アドバイザリはどこで確認できますか？

現時点では、この脆弱性の悪用を検出する特定のツールはありません。OpenClawログの監視が最良のオプションです。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.12

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32924 は、OpenClaw に存在する認証バイパスの脆弱性です。この脆弱性により、Feishu リアクションイベントが誤って分類され、攻撃者はグループチャットの保護を回避できます。影響を受けるバージョンは、0–2026.3.12 です。この問題は、バージョン 2026.3.12 で修正されました。

影響と攻撃シナリオ

OpenClawのCVE-2026-32924は、CVSSスコア9.8という認証バイパスの脆弱性です。具体的には、'chat_type'フィールドを省略したFeishuのリアクションイベントが、グループチャットではなくP2P（1対1）会話として誤って分類されます。これにより、攻撃者はグループチャット用に設計された'groupAllowFrom'および'requireMention'の保護機能を回避し、グループ内で意図しない受信者にメッセージを送信したり、不正なアクションを実行したりする可能性があります。この脆弱性の重大性は、OpenClaw内のグループ通信のセキュリティを侵害する可能性があり、フィッシング攻撃、スパム、または機密情報の漏洩を容易にする可能性があることにあります。

悪用の状況

攻撃者は、'chat_type'フィールドを省略したFeishuのリアクションイベントを送信することで、この脆弱性を悪用する可能性があります。誤った分類により、OpenClawはこのイベントをP2P会話に由来するものとして扱います。これにより、攻撃者は'groupAllowFrom'（グループ内で誰がリアクションできるかを制限）および'requireMention'（特定のユーザーに言及する必要がある）の制限を回避できます。その後、攻撃者はグループ内で不正なアクションを実行する可能性があります。たとえば、メンバー全員に同意なしにメッセージを送信したり、グループの構成を変更したりする可能性があります。リアクションイベントの分類における適切な認証の欠如が、この問題の根本原因です。

リスク対象者翻訳中…

Organizations utilizing OpenClaw for collaboration and communication, particularly those integrating with Feishu, are at risk. Environments relying on group chat protections for sensitive information or critical workflows are especially vulnerable. Any deployment of OpenClaw versions 0–2026.3.12 is potentially exposed.

攻撃タイムライン

2026-03-29Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーOpenClaw

影響範囲修正版

0 – 2026.3.122026.3.12

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2026-03-16
公開日2026-03-29
更新日2026-03-30
EPSS 更新日2026-04-06

緩和策と回避策

この脆弱性の解決策は、OpenClawをバージョン2026.3.12以降にアップデートすることです。このアップデートにより、Feishuのリアクションイベントの分類ロジックが修正され、適切な場合にグループチャットとして正しく分類されるようになります。OpenClawのユーザーは、このアップデートをできるだけ早く適用して、悪用のリスクを軽減することを強くお勧めします。さらに、組織のセキュリティポリシーに沿って、'groupAllowFrom'および'requireMention'に関連するセキュリティ構成を確認してください。OpenClawログを不審なパターンについて監視することも、潜在的な悪用試行を検出および対応するのに役立ちます。

修正方法

OpenClawをバージョン2026.3.12以降にアップデートしてください。このバージョンでは、Feishuリアクションイベントを正しく分類することにより、認証バイパスの脆弱性が修正されています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32924 とは何ですか？（OpenClaw）