概要
OpenClaw の ノード ホスト 承認 メカニズム に おいて、正確 な ファイル バインド が 行えない 場合 に TOCTOU(Time-of-Check Time-of-Use)攻撃 が 可能 な 脆弱性 が 存在 します。攻撃者 は 承認 チェック と 実行 の 間 の タイム ウィンドウ で スクリプト を 差し替え、承認 されて いない コード を 実行 できます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 高 |
| 必要 な 特権 レベル | 低 |
| ユーザー 関与 | 不要 |
| CWE | CWE-367(TOCTOU 競合 状態) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| OpenClaw | < 2026.3.11 | 2026.3.11 |
修正 バージョン と 回避策
- 修正 バージョン: 2026.3.11
- アップデート まで の 間 は、インタープリター コマンド や ランタイム コマンド の 承認 ポリシー を 厳格化 する こと を 推奨
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。