概要
OpenClaw に おける 認可 バイパス の 脆弱性 です。operator.write スコープ を 持つ ユーザー が、本来 オーナー のみ が 使用 可能 な ツール を 呼び出す こと が できて しまう 問題 が 存在 します。
CWE-863(Incorrect Authorization)に 分類 される この 問題 に より、オペレーター 権限 の ユーザー が オーナー 権限 の 操作 を 実行 でき、意図 しない システム 変更 や データ 操作 が 行われる 可能性 が あります。権限 分離 が 機能 して いない ため、速やか な 対応 が 必要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8 (High) |
| CWE | CWE-863(不正な認可) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 低 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- OpenClaw(2026.3.1 未満)
修正バージョンと回避策
- 修正バージョン: 2026.3.1 以降 へ アップデート してください
- 暫定回避策: operator.write スコープ の 付与 を 必要 最小限 に 制限 する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。