CRITICALCVE-2026-33578CVSS 9.8

OpenClaw < 2026.3.28 - Google Chat および Zalouser 拡張機能におけるポリシーのダウングレードによる送信者ポリシー許可リストのバイパス

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.28

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33578は、OpenClawのGoogle ChatおよびZalouser拡張機能における送信者ポリシーバイパスの脆弱性です。ルートレベルのグループ許可リストポリシーが、オープンポリシーにサイレントにダウングレードされます。攻撃者は、このポリシー解決の欠陥を悪用して、送信者の制限をバイパスし、構成された許可リストの制限にもかかわらずボットと対話できます。影響を受けるバージョンは2026.3.28未満です。バージョン2026.3.28で修正されています。

影響と攻撃シナリオ

OpenClawのCVE-2026-33578は、送信者レベルの制限が設定されている場合でも、不正なユーザーがボットとやり取りすることを可能にします。具体的には、ルートレベルのグループ許可リストのみが設定されている場合（Google ChatまたはZalouser）、送信者ポリシーの解決が「許可リスト」から「オープン」にサイレントにダウングレードされます。これは、許可リスト内のグループのすべてのメンバーが、オペレーターが特定の送信者にインタラクションを制限する意図を無視して、ボットと通信できることを意味します。

悪用の状況

OpenClawボットがグループ許可リストで構成され、オペレーターが特定の送信者にアクセスを制限する意図があった場合、攻撃者はこの脆弱性を悪用する可能性があります。許可リスト内のグループのメンバーである攻撃者は、承認なしにボットとやり取りし、ボットによって処理されるデータのセキュリティまたは整合性を損なう可能性があります。悪用は簡単で、許可されたグループのメンバーであること以外に、攻撃者に追加のアクションは必要ありません。

リスク対象者翻訳中…

Organizations using OpenClaw for Google Chat and Zalouser integrations, particularly those relying on route-level group allowlists for access control, are at risk. This includes businesses using OpenClaw for internal communication, automation, or data processing within these platforms. Shared hosting environments where multiple users share an OpenClaw instance are also at increased risk.

検出手順翻訳中…

• nodejs: Monitor OpenClaw logs for unexpected bot interactions from users outside of expected sender groups. Use journalctl -u openclaw to filter for relevant events. • generic web: Review Google Chat and Zalouser integration logs for unusual bot commands or data access originating from members of allowlisted groups. Examine access/error logs for patterns indicating unauthorized access. • generic web: Check for unexpected bot activity via curl: curl -v <openclaw_endpoint> | grep -i 'unauthorized access'

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.3.282026.3.28

—2026.3.28

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2026-03-23
公開日2026-04-01
更新日2026-04-06
EPSS 更新日2026-04-08

緩和策と回避策

この脆弱性を軽減するには、OpenClawをバージョン2026.3.28以降にアップデートしてください。このアップデートは、送信者ポリシー解決の誤った動作を修正し、グループレベルの制限が適用されるようにします。アップデート後、アクセスポリシーが期待どおりに動作していることを確認するために、Google ChatおよびZalouserの許可リスト構成を確認することをお勧めします。アップデート後のボットアクティビティを監視することも、予期しない動作を特定するための良い方法です。

修正方法

OpenClaw をバージョン 2026.3.28 以降にアップデートしてください。このアップデートにより、Google Chat および Zalouser 拡張機能における送信者ポリシーのバイパスの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33578 とは何ですか？（openclaw）

OpenClawは、Google ChatやZalouserなどのさまざまなメッセージングプラットフォームと対話するボットを構築するためのフレームワークです。

openclaw の CVE-2026-33578 による影響を受けていますか？

アップデートは、不正なユーザーがボットとやり取りすることを可能にするセキュリティ脆弱性を修正します。

openclaw の CVE-2026-33578 を修正するにはどうすればよいですか？

許可リスト構成を確認し、ボットアクティビティを監視して、期待どおりに機能していることを確認してください。

CVE-2026-33578 は積極的に悪用されていますか？

2026.3.28より前のバージョンのOpenClawを使用しており、グループ許可リストが構成されている場合は、影響を受けている可能性が高いです。

CVE-2026-33578 に関する openclaw の公式アドバイザリはどこで確認できますか？

いいえ、アップデートは、この脆弱性に対する唯一の既知の解決策です。