CRITICALCVE-2026-32973CVSS 9.8

OpenClaw < 2026.3.11 - POSIXパス正規化によるExec Allowlistパターンオーバーマッチ

Q: CVE-2026-32973 とは何ですか？（OpenClaw）

OpenClawは、コンピューターロールプレイングゲーム（CRPG）のオープンソースシミュレーションエンジンです。

Q: OpenClaw の CVE-2026-32973 による影響を受けていますか？

CVSSスコア9.8は、簡単に悪用でき、システムセキュリティに重大な影響を与える可能性のある重大な脆弱性を示しています。

Q: OpenClaw の CVE-2026-32973 を修正するにはどうすればよいですか？

その間は、実行権限を制限し、システムを不審な活動がないか監視してください。

Q: CVE-2026-32973 は積極的に悪用されていますか？

バージョン2026.3.11以降に更新することが推奨される解決策です。実行可能な回避策はありません。

Q: CVE-2026-32973 に関する OpenClaw の公式アドバイザリはどこで確認できますか？

OpenClawの公式ドキュメントと、CVE-2026-32973に関連するセキュリティアドバイザリを参照してください。

プラットフォーム

python

コンポーネント

openclaw

修正版

2026.3.11

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32973 は、OpenClaw に存在する exec allowlist バイパスの脆弱性です。この脆弱性により、攻撃者は、意図しないコマンドやパスを実行できます。影響を受けるバージョンは、0–2026.3.11 です。この問題は、バージョン 2026.3.11 で修正されました。

影響と攻撃シナリオ

OpenClawのCVE-2026-32973脆弱性は、CVSSスコア9.8という重大なリスクをもたらします。これは、matchesExecAllowlistPattern関数における不備が原因で、実行許可リスト（exec allowlist）を迂回させます。具体的には、この関数は小文字に変換し、POSIXパスに対して過剰に一致するようなグローバールマッチングを使用します。攻撃者は、'?'ワイルドカードを利用して、パスセグメントを予期しない方法で一致させることができます。これにより、意図されていないコマンドの実行やファイルへのアクセスが可能になり、システムのセキュリティが損なわれます。この問題の重大性は、容易な悪用と、システム機密性、完全性、可用性への潜在的な影響にあります。

悪用の状況

この脆弱性は、OpenClawがファイルパスでワイルドカードを解釈する方法を利用して悪用されます。'?'ワイルドカードを使用すると、攻撃者はパスセグメント内の任意の文字に一致させることができます。不適切な正規化（小文字への変換）とグローバールマッチングロジックにより、攻撃者は意図された実行許可パターンに一致するパスを構築できますが、実際には別のファイルまたはディレクトリを指し、許可されていないコマンドの実行を可能にします。OpenClawがユーザーが提供するコードを実行するために使用される環境では、この脆弱性は特に懸念されます。攻撃者は、OpenClawの特権で実行される悪意のあるコードを挿入する可能性があるためです。

リスク対象者翻訳中…

Organizations deploying OpenClaw for any purpose, particularly those using it in environments with untrusted input or where command execution is a core functionality, are at risk. This includes users relying on OpenClaw for data processing, scripting, or automation tasks where user-provided data influences command execution paths.

検出手順翻訳中…

• python / server:

import os
import subprocess

def check_claw_version():
    try:
        result = subprocess.run(['openclaw', '--version'], capture_output=True, text=True, check=True)
        version = result.stdout.strip()
        if version and float(version.split('.')[2]) < 11:
            print(f"OpenClaw version is vulnerable: {version}")
        else:
            print(f"OpenClaw version is patched: {version}")
    except FileNotFoundError:
        print("OpenClaw not found.")
    except subprocess.CalledProcessError as e:
        print(f"Error checking version: {e}")

check_claw_version()

• generic web: Examine OpenClaw logs for unusual command execution attempts, especially those containing wildcard characters or unexpected path segments.

攻撃タイムライン

2026-03-29Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.07% (23% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーOpenClaw

影響範囲修正版

0 – 2026.3.112026.3.11

弱点分類 (CWE)

CWE-625

タイムライン

予約済み2026-03-17
公開日2026-03-29
更新日2026-03-30
EPSS 更新日2026-04-06

公開後-18日でパッチ適用

緩和策と回避策

CVE-2026-32973を軽減するための解決策は、OpenClawをバージョン2026.3.11以降に更新することです。このバージョンでは、matchesExecAllowlistPatternが一致パターンを処理する方法が修正され、パスの過剰一致を防ぎます。更新を適用する際には、必要なユーザーとプロセスに実行権限を制限し、システムを不審な活動がないか監視するなど、追加のセキュリティ対策を実装することをお勧めします。潜在的な攻撃からOpenClawシステムを保護するために、この更新プログラムをできるだけ早く適用することが重要です。更新を怠ると、システムは悪用に対して脆弱になります。

修正方法

OpenClawをバージョン2026.3.11以降にアップデートしてください。これにより、POSIXパスでのワイルドカードマッチングによるパターンの不適切な正規化による実行許可リストバイパスの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32973 とは何ですか？（OpenClaw）