概要
OpenClaw の /config および /debug コマンド ハンドラー に おいて、アクセス 制御 が 不十分 な 脆弱性 が 存在 します。コマンド 実行 権限 を 持つ 非 オーナー ユーザー が、本来 オーナー 専用 の 設定 画面 や デバッグ 情報 に アクセス できます。設定 の 変更 や 機密 情報 の 漏洩 に つながる 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.8(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 低(コマンド 実行 権限) |
| ユーザー 関与 | 不要 |
| CWE | CWE-863(不正 な 認可) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| OpenClaw | < 2026.3.12 | 2026.3.12 |
修正 バージョン と 回避策
- 修正 バージョン: 2026.3.12
- アップデート まで の 間 は、コマンド 実行 権限 の 付与 を 最小限 に する こと を 推奨
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。