つみかさね

CVE-2026-41294

Critical(9.8)

CVE-2026-41294 — OpenClaw 環境変数インジェクション

公開日: 2026-04-22データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
openclawOpenClaw (npm)2026.3.28 未満

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1OpenClaw を使用しているか確認する
  2. 2バージョン 2026.3.28 以降へアップデートする
  3. 3CWD に不審な .env ファイルが配置されていないか確認する

影響対象

OpenClaw利用者

補足

  • -環境変数の乗っ取りによりセキュリティポリシー全体が無効化されるため、早急な対応を推奨します
CVEOpenClaw環境変数インジェクションサンドボックス

概要

OpenClaw において、カレントワーキングディレクトリ(CWD)の .env ファイルを通じた環境変数インジェクションの脆弱性が存在します。攻撃者は悪意のある .env ファイルを配置することで、host-env ポリシーをバイパスし、アプリケーションの設定を乗っ取ることが可能です。

これにより、サンドボックスの設定やセキュリティポリシーが無効化され、本来アクセスできないリソースへの不正アクセスにつながるおそれがあります。

CVSSベクトル

項目
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権不要
ユーザー関与不要
CWECWE-74(インジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン
openclawOpenClaw (npm)2026.3.28 未満

修正バージョンと回避策

  • 修正バージョン: 2026.3.28
  • 回避策: CWD に信頼できない .env ファイルが配置されていないことを確認する、またはファイルシステムの書き込み権限を制限する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41296OpenClaw TOCTOU サンドボックスエスケープCVSS 9.8CVE-2026-41329OpenClaw heartbeat bypassCVSS 9.8

参考リンク

GitHub Advisory:https://github.com/openclaw/openclaw/security/advisories/GHSA-8rh7-6779-cjqq
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41294
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。