概要
OpenClaw の /pair エンドポイント に おいて、生成 される ペアリング セットアップ コード に 長期間 有効 な 共有 ゲートウェイ 認証情報 が 直接 埋め込まれる 脆弱性 が 存在 します。セットアップ コード が 漏洩 した 場合、攻撃者 は 埋め込まれた 認証情報 を 再利用 し、ゲートウェイ に 不正 アクセス が 可能 に なります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-522(不十分 に 保護 された 認証情報) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| OpenClaw | < 2026.3.12 | 2026.3.12 |
修正 バージョン と 回避策
- 修正 バージョン: 2026.3.12
- アップデート まで の 間 は、ペアリング コード の 取り扱い を 厳重 に し、共有 ゲートウェイ 認証情報 を ローテーション する こと を 推奨
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。