HIGHCVE-2026-33572CVSS 8.4

OpenClaw (CVE-2026-33572): セッションログの機密情報漏洩

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.2.17

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2026-33572は、OpenClawにおけるセッショントランスクリプトJSONLファイルのパーミッションに関する脆弱性です。この脆弱性により、ローカルユーザーがトランスクリプトの内容を読み取ることができます。影響を受けるバージョンは0–2026.2.17です。攻撃者は、トランスクリプトファイルから機密情報を抽出できます。この問題は、バージョン2026.2.17で修正されました。

影響と攻撃シナリオ

OpenClawのCVE-2026-33572の脆弱性は、2026.2.17より前のバージョンに影響します。OpenClawは、JSONL形式で新しいセッショントランスクリプトファイルを生成する際に、デフォルトで広すぎるアクセス許可を割り当てていました。マルチユーザーホストでは、他のローカルユーザーまたはプロセスがこれらのトランスクリプトの内容を読み取り、ツール出力に表示される可能性のある秘密情報など、機密情報が漏洩する可能性があります。セッションデータの機密性が重要な共有環境では、リスクが特に高くなります。

悪用の状況

システムにアクセスできるローカル攻撃者は、この脆弱性を悪用して、他のユーザーのセッショントランスクリプトファイルを読み取ることができます。これにより、OpenClawセッション中に使用されたパスワード、APIキー、その他の秘密情報などの機密情報を取得できる可能性があります。マルチユーザー環境で、ユーザーが同じシステムを共有したり、共有場所にあるファイルにアクセスしたりする場合に、悪用が発生する可能性が高くなります。

リスク対象者翻訳中…

This vulnerability primarily affects developers and organizations using openclaw in multi-user environments, particularly those where sensitive data might be present in tool output within openclaw sessions. Shared hosting environments where multiple users share the same server are also at increased risk.

検出手順翻訳中…

• nodejs / server:

find /path/to/openclaw/session_store -perm -002 -type f

• nodejs / supply-chain:

npm ls openclaw

• generic web: Check file permissions on the openclaw session store directory.

攻撃タイムライン

2026-03-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.2.172026.2.17

—2026.2.17

弱点分類 (CWE)

CWE-378

タイムライン

予約済み2026-03-23
公開日2026-03-16
更新日2026-04-06
EPSS 更新日2026-04-06

緩和策と回避策

このリスクを軽減するには、OpenClawをバージョン2026.2.17以降にアップデートすることをお勧めします。このバージョンは、セッショントランスクリプトファイルのアクセス許可を制限することで脆弱性を修正し、所有者のみがアクセスできるようにします。さらに、トランスクリプトファイルが安全な場所に保存され、適切に管理されていることを確認するために、システムのセキュリティポリシーを確認してください。セッションデータの機密性が主な懸念事項である場合は、より厳格なアクセス制御の実装を検討してください。

修正方法

OpenClaw をバージョン 2026.2.17 以降にアップデートしてください。 このバージョンでは、セッショントランスクリプトファイルにおける不十分なファイル権限が修正され、許可されていないローカルユーザーがトランスクリプトの内容を読み取ることができなくなります。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33572 とは何ですか？（openclaw）

OpenClawは、テーブルトークロールプレイングゲームを開発するためのツールです。この脆弱性は、OpenClawがセッショントランスクリプトを処理する方法に影響します。

openclaw の CVE-2026-33572 による影響を受けていますか？

OpenClawのバージョン2026.2.17より前のバージョンを使用している場合は、影響を受けている可能性が高いです。

openclaw の CVE-2026-33572 を修正するにはどうすればよいですか？

OpenClawを直ちに最新バージョンにアップデートしてください。不正アクセスを示す兆候がないか、セッショントランスクリプトファイルを調べてください。侵害された可能性のあるパスワードとAPIキーを変更することを検討してください。

CVE-2026-33572 は積極的に悪用されていますか？

すぐにアップデートできない場合は、セッショントランスクリプトファイルのアクセス許可を手動で制限して、所有者のみがアクセスできるようにすることができます。ただし、これには専門知識が必要であり、完全な解決策ではない場合があります。

CVE-2026-33572 に関する openclaw の公式アドバイザリはどこで確認できますか？

詳細については、National Vulnerability Database (NVD)のCVE-2026-33572ページを参照してください：[https://nvd.nist.gov/vuln/detail/CVE-2026-33572](https://nvd.nist.gov/vuln/detail/CVE-2026-33572)