HIGHCVE-2026-3690CVSS 7.4

OpenClaw Canvas 認証バイパスの脆弱性

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.2.18

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-3690は、OpenClawのCanvasエンドポイントにおける認証機能の実装に起因する認証回避の脆弱性です。この脆弱性を悪用されると、認証なしでリモートの攻撃者がシステムにアクセスできるようになります。影響を受けるバージョンはOpenClaw 2026.2.17です。現時点では公式なパッチは提供されていません。

影響と攻撃シナリオ

OpenClawのCVE-2026-3690は、リモート攻撃者が認証をバイパスすることを可能にする重大な脆弱性です。これは、canvasエンドポイントの認証機能の実装に不備があることが原因です。攻撃者はこの脆弱性を悪用して、通常の認証プロセスを経ることなくシステムにアクセスし、機密データへの不正アクセスやシステム構成の操作につながる可能性があります。この脆弱性の深刻度はCVSSで7.4と評価されており、重大なリスクを示しています。現在、修正プログラムが利用できないことは、状況をさらに悪化させており、即時の予防措置を講じる必要があります。

悪用の状況

CVE-2026-3690は、OpenClawのcanvasエンドポイントの認証ロジックの脆弱性を悪用することでエクスプロイトされます。攻撃者はこれらの機能にアクセスするために有効な認証情報が必要ありません。エクスプロイトには、認証コントロールを回避するように設計された悪意のあるリクエストを送信することが含まれる可能性が高くなります。元のレポート（ZDI-CAN-29311）は、脆弱性が認証機能の実装に存在することを示唆しており、入力パラメータを操作したり、特定のスクリプトを実行したりすることで脆弱性を悪用できる可能性があります。KEV（Kernel Exploit Verification）がないことは、制御された環境でのエクスプロイト検証が進行中であることを示唆していますが、CVSSの深刻度評価は、エクスプロイトの可能性を示しています。

リスク対象者翻訳中…

Organizations utilizing OpenClaw for any purpose, particularly those relying on its authentication mechanisms for access control, are at risk. This includes environments where OpenClaw is exposed to external networks or untrusted users. Legacy configurations or deployments without proper network segmentation are particularly vulnerable.

攻撃タイムライン

2026-04-11Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.16% (37% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーOpenClaw

影響範囲修正版

2026.2.17 – 2026.2.172026.2.18

弱点分類 (CWE)

CWE-291

タイムライン

予約済み2026-03-07
公開日2026-04-11
更新日2026-04-14
EPSS 更新日2026-04-18

未パッチ — 公開から43日経過

緩和策と回避策

CVE-2026-3690に対する修正プログラムがOpenClawで利用できないため、軽減策は補完的なセキュリティ対策に焦点を当てています。影響を受けたOpenClawインスタンスをセグメント化されたネットワーク上に隔離することを強くお勧めします。これにより、エクスプロイトの影響を制限できます。また、システムを継続的に監視して、不審なアクティビティを検出することも重要です。可能であれば、公式なパッチがリリースされるまで、一時的にcanvas機能を無効にすることを検討してください。OpenClawのセキュリティアップデートに関する情報を常に把握し、利用可能になり次第、パッチを迅速に適用することが不可欠です。堅牢なファイアウォールと厳格なアクセスルールを実装することで、リスクをさらに軽減できます。

修正方法翻訳中…

Actualice OpenClaw a la versión corregida.  Revise la documentación oficial de OpenClaw o el repositorio de GitHub para obtener instrucciones específicas de actualización.  Asegúrese de que la implementación de la autenticación se revise y fortalezca para prevenir futuros bypasses.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-3690 とは何ですか？（OpenClaw の Authentication Bypass）

これは、攻撃者が有効なユーザー名とパスワードを必要とせずに、システムまたは特定の機能にアクセスできることを意味します。

OpenClaw の CVE-2026-3690 による影響を受けていますか？

修正プログラムがないため、システムを隔離し、アクティビティを監視し、可能であればcanvas機能を無効にしてください。セキュリティアップデートに関する情報を常に把握してください。

OpenClaw の CVE-2026-3690 を修正するにはどうすればよいですか？

KEVがないにもかかわらず、CVSSスコアが7.4であるため、この脆弱性はアクティブで悪用可能です。

CVE-2026-3690 は積極的に悪用されていますか？

修正プログラムのリリース予定日はありません。OpenClawのウェブサイトで最新情報を確認してください。

CVE-2026-3690 に関する OpenClaw の公式アドバイザリはどこで確認できますか？

これは、Zero Day Initiative（ZDI）に提出された元の脆弱性レポートの識別子です。