つみかさね

CVE-2026-32924

Critical(9.8)

CVE-2026-32924 — OpenClaw Feishu リアクション認可バイパス

公開日: 2026-03-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawOpenClaw< 2026.3.12
CVEOpenClaw認可バイパス

概要

OpenClaw の Feishu 連携 に おいて、リアクション イベント の chat_type フィールド が 省略 された 場合 に グループ チャット が p2p 会話 として 誤分類 される 脆弱性 が 存在 します。この 誤分類 に より、groupAllowFrom および requireMention による 認可 制御 が バイパス され、攻撃者 は 任意 の グループ チャット から エージェント に コマンド を 送信 できます。

CVSS ベクトル

項目
CVSS スコア9.8(Critical)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル不要
ユーザー 関与不要
CWECWE-863(不正 な 認可)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
OpenClaw< 2026.3.122026.3.12

修正 バージョン と 回避策

  • 修正 バージョン: 2026.3.12
  • アップデート まで の 間 は、Feishu webhook の リアクション イベント を 無効 に する こと を 推奨

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-32974OpenClaw Feishu webhook認証バイパスCVSS 8.6CVE-2026-32975OpenClaw Zalo許可リスト認可不備CVSS 9.8CVE-2026-32922OpenClaw device.token.rotate 権限昇格CVSS 9.9

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32924
GHSA:https://github.com/openclaw/openclaw/security/advisories/GHSA-m69h-jm2f-2pv8
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。