CRITICALCVE-2026-33579CVSS 9.5

OpenClaw < 2026.3.28 - デバイスペア承認における Caller Scope 検証の欠落による権限昇格

Q: CVE-2026-33579 とは何ですか？（openclaw）

OpenClaw は、デバイスのペアリングと管理を容易にするソフトウェアプラットフォームです。これにより、ユーザーはデバイスをシステムやアプリケーションに安全に接続できます。

Q: openclaw の CVE-2026-33579 による影響を受けていますか？

2026.3.28 より前のバージョンの OpenClaw を使用している場合、特権昇格に対して脆弱になる可能性があります。攻撃者は許可なく管理者アクセスを取得する可能性があります。

Q: openclaw の CVE-2026-33579 を修正するにはどうすればよいですか？

アップデートできない場合は、ペアリング権限をレビューして制限し、デバイスペアリングリクエストを監査してください。

Q: CVE-2026-33579 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありません。確認する最良の方法は、使用している OpenClaw のバージョンを確認することです。

Q: CVE-2026-33579 に関する openclaw の公式アドバイザリはどこで確認できますか？

この脆弱性に関する詳細情報は、OpenClaw のセキュリティリソースと CVE などの脆弱性データベースで入手できます。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.28

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33579は、OpenClawの/pair approveコマンドパスにおける権限昇格の脆弱性です。ペアリング権限を持つが管理者権限を持たない呼び出し元は、extensions/device-pair/index.tsおよびsrc/infra/device-pairing.tsにおけるスコープ検証の欠落を悪用して、管理者アクセスを含むより広範なスコープを要求する保留中のデバイスリクエストを承認できます。影響を受けるバージョンは2026.3.28未満です。バージョン2026.3.28で修正されています。

影響と攻撃シナリオ

OpenClaw の CVE-2026-33579 は、ペアリング権限はあるが管理者権限はない攻撃者が、より広範なスコープ（管理者アクセスを含む）を要求する保留中のデバイスリクエストを承認することを可能にします。これは、/pair approve コマンドがコア承認チェックに呼び出し元のスコープを転送しなかったために発生します。したがって、攻撃者は通常管理者権限を必要とする関数とデータへの不正アクセスを得ることができます。この脆弱性の重大度は CVSS スケールで 9.5 と評価されており、重大なリスクを示しています。

悪用の状況

この脆弱性は、デバイスペアリング権限はあるが管理者権限はないユーザーがいる環境で悪用される可能性があります。攻撃者はこの状況を利用して、昇格された権限を持つデバイスリクエストを承認し、それによって機密性の高いリソースへの不正アクセスを得ることができます。悪用は比較的簡単で、/pair approve コマンドの知識と広範な権限を持つデバイスペアリングリクエストを開始する能力のみが必要です。デバイスペアリングが一般的で、アクセス制御が正しく構成されていない環境では、リスクが特に高くなります。

リスク対象者翻訳中…

Organizations utilizing OpenClaw for device management and authentication are at risk, particularly those with complex device pairing workflows or environments where users may have been granted pairing privileges without proper administrative oversight. Shared hosting environments using OpenClaw are also at increased risk due to potential cross-tenant vulnerabilities.

検出手順翻訳中…

• nodejs / server:

  npm audit openclaw

• nodejs / server:

  npm list openclaw

• generic web: Inspect OpenClaw logs for unusual device approval requests originating from non-admin users. Look for patterns indicating scope escalation attempts. • generic web: Review OpenClaw configuration files for any misconfigured access controls related to device pairing.

攻撃タイムライン

2026-03-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート4 件の脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0.0.0 – 2026.3.272026.3.28

—2026.3.28

弱点分類 (CWE)

CWE-863

タイムライン

予約済み2026-03-23
公開日2026-03-31
更新日2026-04-06
EPSS 更新日2026-04-08

緩和策と回避策

この脆弱性を軽減するには、OpenClaw をバージョン 2026.3.28 以降にアップデートすることを強くお勧めします。このバージョンには、デバイス承認プロセス中に呼び出し元のスコープが正しく渡されることを保証する修正が含まれています。即時のアップデートが不可能な場合は、ペアリング権限をレビューして制限し、これらの権限を持つユーザーの数を制限し、デバイスペアリングリクエストを定期的に監査することを検討してください。最新の安定リリースである 2026.3.28 へのアップグレードが最も効果的でお勧めされる解決策です。

修正方法

OpenClaw をバージョン 2026.3.28 以降にアップデートしてください。このバージョンでは、デバイス承認中に呼び出し元のスコープを適切に検証することで、権限昇格の脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33579 とは何ですか？（openclaw）