概要
OpenClaw に おいて、セッション トランスクリプト の JSONL ファイル が 過度 に 広い デフォルト 権限 で 作成 される 脆弱性 が 存在 します。ローカル ユーザー が トランスクリプト の 内容 を 読み取り、会話 履歴 に 含まれる 機密 情報(API キー、認証 トークン、個人 情報 など)を 抽出 できます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.4(High) |
| 攻撃 元 区分 | ローカル |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 低(ローカル ユーザー) |
| ユーザー 関与 | 不要 |
| CWE | CWE-378(安全 でない 権限 の 一時 ファイル 作成) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| OpenClaw | < 2026.2.17 | 2026.2.17 |
修正 バージョン と 回避策
- 修正 バージョン: 2026.2.17
- アップデート まで の 間 は、トランスクリプト ファイル の パーミッション を 手動 で 600 に 設定 する こと を 推奨
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。