つみかさね

CVE-2026-32973

Critical(9.8)

CVE-2026-32973 — OpenClaw exec許可リストバイパス

公開日: 2026-03-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawOpenClaw< 2026.3.11
CVEOpenClaw許可リストバイパス

概要

OpenClaw の matchesExecAllowlistPattern 関数 に おいて、パターン の 小文字 変換 と glob マッチング が POSIX パス 上 で 過剰 に マッチ する 脆弱性 が 存在 します。攻撃者 は パス の 正規化 処理 の 不備 を 利用 し、本来 実行 が 許可 されて いない コマンド を exec 許可リスト の チェック を 回避 して 実行 できます。

CVSS ベクトル

項目
CVSS スコア9.8(Critical)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル不要
ユーザー 関与不要
CWECWE-625(寛容 な 正規 表現)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
OpenClaw< 2026.3.112026.3.11

修正 バージョン と 回避策

  • 修正 バージョン: 2026.3.11
  • アップデート まで の 間 は、exec 許可リスト に 絶対 パス の みを 指定 し、glob パターン の 使用 を 最小限 に する こと を 推奨

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-32922OpenClaw device.token.rotate 権限昇格CVSS 9.9CVE-2026-32978OpenClaw 承認バイパス(TOCTOU)CVSS 8CVE-2026-32979OpenClaw ノードホスト承認TOCTOUCVSS 7.3

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32973
GHSA:https://github.com/openclaw/openclaw/security/advisories/GHSA-f8r2-vg7x-gh8m
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。