つみかさね

CVE-2026-32974

High(8.6)

CVE-2026-32974 — OpenClaw Feishu webhook認証バイパス

公開日: 2026-03-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawOpenClaw< 2026.3.12
CVEOpenClaw認証バイパス

概要

OpenClaw の Feishu webhook モード に おいて、encryptKey が 設定 されず verificationToken のみ が 設定 されて いる 場合 に 認証 バイパス が 可能 な 脆弱性 が 存在 します。暗号 署名 の 検証 が 省略 される ため、攻撃者 は 偽造 した イベント を webhook に 送信 し、エージェント に 任意 の コマンド を 実行 させる こと が できます。

CVSS ベクトル

項目
CVSS スコア8.6(High)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル不要
ユーザー 関与不要
CWECWE-347(暗号 署名 の 不適切 な 検証)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
OpenClaw< 2026.3.122026.3.12

修正 バージョン と 回避策

  • 修正 バージョン: 2026.3.12
  • アップデート まで の 間 は、Feishu webhook に encryptKey を 必ず 設定 する こと を 推奨

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-32924OpenClaw Feishu リアクション認可バイパスCVSS 9.8CVE-2026-32975OpenClaw Zalo許可リスト認可不備CVSS 9.8CVE-2026-32980OpenClaw Telegram webhookリソース枯渇CVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32974
GHSA:https://github.com/openclaw/openclaw/security/advisories/GHSA-g353-mgv3-8pcj
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。