つみかさね

CVE-2026-32972

High(7.1)

CVE-2026-32972 — OpenClaw ブラウザプロファイル認可バイパス

公開日: 2026-03-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawOpenClaw< 2026.3.11
CVEOpenClaw認可バイパス

概要

OpenClaw の browser.request に おいて、operator.write 権限 のみ を 持つ 認証済み オペレーター が、本来 管理者 専用 の ブラウザ プロファイル 管理 ルート に アクセス できる 認可 バイパス の 脆弱性 が 存在 します。攻撃者 は ブラウザ プロファイル の 作成・変更・削除 を 行い、他 の ユーザー の セッション に 影響 を 与える 可能性 が あります。

CVSS ベクトル

項目
CVSS スコア7.1(High)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル低(operator.write)
ユーザー 関与不要
CWECWE-863(不正 な 認可)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
OpenClaw< 2026.3.112026.3.11

修正 バージョン と 回避策

  • 修正 バージョン: 2026.3.11
  • アップデート まで の 間 は、operator.write 権限 の 付与 を 信頼 できる ユーザー に 限定 する こと を 推奨

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-32914OpenClaw /config /debug アクセス制御不足CVSS 8.8CVE-2026-33573OpenClaw ワークスペース境界バイパスCVSS 8.8CVE-2026-32975OpenClaw Zalo許可リスト認可不備CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32972
GHSA:https://github.com/openclaw/openclaw/security/advisories/GHSA-vmhq-cqm9-6p7q
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。