つみかさね

CVE-2026-33573

High(8.8)

CVE-2026-33573 — OpenClaw ワークスペース境界バイパス

公開日: 2026-03-30データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenClawOpenClaw< 2026.3.11
CVEOpenClawワークスペースバイパス

概要

OpenClaw の ゲートウェイ エージェント RPC に おいて、認証済み の operator.write 権限 を 持つ オペレーター が、攻撃者 が 制御 する spawnedBy および workspaceDir 値 を 通じて ワークスペース 境界 を 超える こと が できる 脆弱性 が 存在 します。他 の ワークスペース の データ に 不正 アクセス が 可能 に なります。

CVSS ベクトル

項目
CVSS スコア8.8(High)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑 さ
必要 な 特権 レベル低(operator.write)
ユーザー 関与不要
CWECWE-668(不適切 な 球体 へ の リソース 公開)

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
OpenClaw< 2026.3.112026.3.11

修正 バージョン と 回避策

  • 修正 バージョン: 2026.3.11
  • アップデート まで の 間 は、operator.write 権限 の 付与 を 信頼 できる ユーザー に 限定 する こと を 推奨

関連 リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-32915OpenClaw サンドボックス境界バイパスCVSS 8.8CVE-2026-32918OpenClaw セッションサンドボックス脱出CVSS 8.4CVE-2026-32922OpenClaw device.token.rotate 権限昇格CVSS 9.9

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33573
GHSA:https://github.com/openclaw/openclaw/security/advisories/GHSA-2rqg-gjgv-84jm
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。