CRITICALCVE-2026-33577CVSS 9.8

OpenClaw < 2026.3.28 - node.pair.approve における不十分なスコープ検証

Q: CVE-2026-33577 とは何ですか？（openclaw）

OpenClawは、分散環境でアプリケーションを実行および管理するためのプラットフォームです。

Q: openclaw の CVE-2026-33577 による影響を受けていますか？

OpenClawのバージョンが2026.3.24より前の場合は、影響を受けている可能性が高いです。

Q: openclaw の CVE-2026-33577 を修正するにはどうすればよいですか？

すぐにアップデートできない場合は、ノードペアリング承認機能へのアクセスを信頼できるユーザーに制限することを検討してください。

Q: CVE-2026-33577 は積極的に悪用されていますか？

セキュリティツールと脆弱性スキャンに関する情報は、OpenClawドキュメントを参照してください。

Q: CVE-2026-33577 に関する openclaw の公式アドバイザリはどこで確認できますか？

OpenClawの公式セキュリティアドバイザリとプロジェクトドキュメントを参照してください。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.28

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33577は、OpenClawのノードペアリング承認パスにおけるスコープ検証不備の脆弱性です。この脆弱性により、権限の低いオペレーターが、より広範なスコープを持つノードを承認できます。攻撃者は、node-pairing.tsにおけるcallerScopes検証の欠落を悪用して、承認レベルを超えてペアリングされたノードに権限を拡張できます。影響を受けるバージョンは2026.3.28未満です。バージョン2026.3.28で修正されています。

影響と攻撃シナリオ

OpenClawのCVE-2026-33577は、権限の低いオペレーターが、より広範なスコープで保留中のノードリクエストを承認することを可能にし、ペアリングされたノードで権限昇格につながる可能性があります。具体的には、ノードペアリング承認パスは、承認者がノードが要求するすべてのスコープをすでに保持しているかどうかを一貫して検証しませんでした。つまり、権限の少ないユーザーが、通常は持たないリソースや機能へのアクセスを許可するリクエストを承認する可能性があります。

悪用の状況

攻撃者は、ノードリクエストプロセスに影響を与えることができる場合、または正規のオペレーターを騙して悪意のあるリクエストを承認させる場合に、この脆弱性を悪用する可能性があります。エクスプロイトの成功は、OpenClaw環境の特定の構成と実装されているアクセスポリシーに依存します。ノードペアリング承認中の適切なスコープ検証の欠如が、主な攻撃ベクトルです。

リスク対象者翻訳中…

Organizations deploying OpenClaw in production environments, particularly those with complex node pairing configurations or a large number of users with varying access privileges, are at significant risk. Shared hosting environments where multiple users share the same OpenClaw instance are also particularly vulnerable, as a compromised user could potentially escalate their privileges across the entire platform.

検出手順翻訳中…

• nodejs / server:

  journalctl -u openclaw | grep -i "node pairing approval"

• nodejs / server:

  ps aux | grep openclaw | grep -i "node pairing"

• generic web: Review OpenClaw access logs for unusual approval patterns or requests for excessively broad scopes. Look for approvals originating from unexpected user accounts or IP addresses.

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.3.282026.3.28

—2026.3.28

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2026-03-23
公開日2026-04-01
更新日2026-04-06
EPSS 更新日2026-04-08

緩和策と回避策

この脆弱性を軽減するには、OpenClawをバージョン2026.3.28以降にアップグレードしてください。このバージョンには、承認者が接続を許可する前に、承認者が必要なスコープを正しく検証するようにする修正が含まれています。潜在的な攻撃からシステムを保護するために、できるだけ早くこのアップデートを適用することが重要です。さらに、ユーザーアクセスポリシーと権限をレビューして、最小権限の原則が遵守されていることを確認してください。

修正方法

OpenClaw をバージョン 2026.3.28 以降にアップデートしてください。このバージョンでは、ノードペアリング承認パスにおける不十分なスコープ検証が修正され、権限の低いオペレーターがより広範なスコープを持つノードを承認することを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33577 とは何ですか？（openclaw）