つみかさね

CVE-2026-32918

High(8.4)

CVE-2026-32918 — OpenClaw セッションサンドボックス脱出

公開日: 2026-03-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawOpenClaw< 2026.3.11
CVEOpenClawサンドボックス脱出

概要

OpenClaw の session_status ツール に おいて、サンドボックス 化 された サブエージェント が 任意 の sessionKey 値 を 指定 する こと で、親 セッション や 兄弟 セッション の 状態 に アクセス できる 脆弱性 が 存在 します。攻撃者 は セッション 間 の 分離 を 回避 し、他 の セッション の 機密 データ を 取得 できます。

CVSS ベクトル

項目
CVSS スコア8.4(High)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル低(サブエージェント 権限)
ユーザー 関与不要
CWECWE-863(不正 な 認可)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
OpenClaw< 2026.3.112026.3.11

修正 バージョン と 回避策

  • 修正 バージョン: 2026.3.11
  • アップデート まで の 間 は、サブエージェント の session_status ツール の 利用 を 制限 する こと を 推奨

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-32915OpenClaw サンドボックス境界バイパスCVSS 8.8CVE-2026-33573OpenClaw ワークスペース境界バイパスCVSS 8.8CVE-2026-33572OpenClaw セッションファイル権限不備CVSS 8.4

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32918
GHSA:https://github.com/openclaw/openclaw/security/advisories/GHSA-wcxr-59v9-rxr8
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。