つみかさね

CVE-2026-32987

Critical(9.8)

CVE-2026-32987 — OpenClaw デバイスペアリング リプレイ攻撃

公開日: 2026-03-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawOpenClaw< 2026.3.13
CVEOpenClawリプレイ攻撃

概要

OpenClaw の src/infra/device-bootstrap.ts に おいて、デバイス ペアリング 検証 時 に ブートストラップ セットアップ コード の 再利用 を 防止 する 仕組み が ない 脆弱性 が 存在 します。攻撃者 は 一度 使用 された セットアップ コード を キャプチャ し、リプレイ する こと で 不正 な デバイス を ペアリング できます。

CVSS ベクトル

項目
CVSS スコア9.8(Critical)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル不要
ユーザー 関与不要
CWECWE-294(キャプチャ リプレイ に よる 認証 バイパス)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
OpenClaw< 2026.3.132026.3.13

修正 バージョン と 回避策

  • 修正 バージョン: 2026.3.13
  • アップデート まで の 間 は、デバイス ペアリング 機能 の 利用 を 制限 し、不正 な ペアリング を 監視 する こと を 推奨

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-32922OpenClaw device.token.rotate 権限昇格CVSS 9.9CVE-2026-33575OpenClaw ペアリングコード認証情報露出CVSS 7.5CVE-2026-32973OpenClaw exec許可リストバイパスCVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32987
GHSA:https://github.com/openclaw/openclaw/security/advisories/GHSA-63f5-hhc7-cx6p
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。