【セキュリティ日報】OpenClawにCVSS 9.9含むCritical 5件、Adobe Commerce CISA KEV — 計57件

本日はNVDから56件、OSVから1件の計57件を確認しました。Critical 6件、High 28件。AIエージェントツール OpenClaw に権限昇格・認可バイパスなど20件の脆弱性が集中公開されており、5件がCriticalです。Adobe Commerce（CVE-2025-54236）はCISA KEVに追加されています。

本日の概要

指標	数値
分析CVE	57件
Critical (9.0+)	6件
High (7.0-8.9)	28件
Medium (4.0-6.9)	13件
Low (~3.9)	1件
未評価 / None	8件
OSV監視対象	1件
GHSA更新	0件
JVN更新	0件

Critical / High 脆弱性の詳細

OpenClaw AIエージェントツール — 20件の脆弱性（Critical 5件）

AIエージェントツール OpenClaw に20件の脆弱性が一斉公開されました。権限昇格、認可バイパス、サンドボックス脱出、TOCTOU攻撃など深刻な問題が含まれます。バージョン2026.3.8〜2026.3.13で順次修正されています。

Critical

CVE ID	概要	CVSS
CVE-2026-32922	device.token.rotateでスコープ制約なしにトークン発行→権限昇格・RCE	9.9
CVE-2026-32924	Feishuリアクションイベントのchat_type省略で認可バイパス	9.8
CVE-2026-32973	exec許可リストのパターンマッチが大文字小文字正規化+globでオーバーマッチ	9.8
CVE-2026-32975	Zaloユーザー許可リストが変更可能なグループ表示名で照合	9.8
CVE-2026-32987	デバイスペアリングのbootstrapセットアップコードがリプレイ可能	9.8

High

CVE ID	概要	CVSS
CVE-2026-32914	/configと/debugコマンドのアクセス制御不足	8.8
CVE-2026-32915	サブエージェントが親のリクエスタスコープにアクセス可能	8.8
CVE-2026-33573	ゲートウェイエージェントRPCでワークスペース境界バイパス	8.8
CVE-2026-32974	Feishu webhook認証バイパス（verificationTokenのみ設定時）	8.6
CVE-2026-32918	session_statusツールで任意セッション状態にアクセス	8.4
CVE-2026-33572	セッションJSONLファイルの過剰なデフォルト権限	8.4
CVE-2026-32978	承認整合性のTOCTOU攻撃（tsxやjitiスクリプトランナー）	8.0
CVE-2026-32980	Telegram webhookの未認証リクエストによるリソース枯渇	7.5
CVE-2026-33575	ペアリングセットアップコードに長寿命の共有認証情報が埋め込み	7.5
CVE-2026-32979	承認バイパスのTOCTOU攻撃（ファイルバインド不能時）	7.3
CVE-2026-32972	ブラウザプロファイル管理の認可バイパス	7.1

OpenClawを利用している場合は、少なくとも2026.3.13以降へのアップデートを強く推奨します。特にdevice.token.rotateの権限昇格（CVE-2026-32922、CVSS 9.9）は即時対応が必要です。

CVE-2025-54236 — Adobe Commerce セッションハイジャック（CISA KEV）

CVSSスコア: 9.1（Critical）
CWE: CWE-20（不正入力検証）
影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前
CISA KEV: 登録済み

Adobe Commerce（Magento）の不正入力検証の脆弱性により、セッション乗っ取りが可能です。CISA KEV（既知の悪用済み脆弱性カタログ） に登録されており、実際の攻撃が確認されています。Adobe Commerceを運用している場合は最優先で対応してください。

参考: Adobe Security Advisory / CISA KEV

IoTルータ・ネットワーク機器 — バッファオーバーフロー 9件

コンシューマ向けネットワーク機器にスタックベースのバッファオーバーフローが集中しています。すべてリモートから悪用可能です。

CVE ID	対象	CVSS
CVE-2026-5021	Tenda F453 1.0.0.3	8.8
CVE-2026-5024	D-Link DIR-513 1.10（EOL）	8.8
CVE-2026-5036	Tenda 4G06 04.06.01.29	8.8
CVE-2026-5042	Belkin F9K1122 1.00.33	8.8
CVE-2026-5043	Belkin F9K1122 1.00.33	8.8
CVE-2026-5044	Belkin F9K1122 1.00.33	8.8
CVE-2026-5045	Tenda FH1201 1.2.0.14	8.8
CVE-2026-5046	Tenda FH1201 1.2.0.14	8.8
CVE-2026-34005	Xiongmai DVR/NVR 4.03.R11	8.8

D-LinkとBelkinの製品はベンダーの応答がない（EOLまたはサポート終了）ため、利用している場合はリプレースの検討を推奨します。Xiongmai DVR/NVRはTCPポート34567経由のDVRIPプロトコルでOSコマンドインジェクションが可能です。

その他の注目すべきHigh脆弱性

CVE ID	対象	概要	CVSS
CVE-2026-5012	elecV2P	/rpcエンドポイントのOSコマンドインジェクション	7.3
CVE-2026-5016	elecV2P	/mockエンドポイントのSSRF	7.3
CVE-2026-5017	Simple Food Order System	/all-tickets.phpのSQLインジェクション	7.3
CVE-2026-5018	Simple Food Order System	register-router.phpのSQLインジェクション	7.3
CVE-2026-5019	Simple Food Order System	all-orders.phpのSQLインジェクション	7.3
CVE-2026-5033	Accounting System	/view_costumer.phpのSQLインジェクション	7.3
CVE-2026-5034	Accounting System	/edit_costumer.phpのSQLインジェクション	7.3
CVE-2026-5035	Accounting System	/view_work.phpのSQLインジェクション	7.3

エコシステム別サマリー

npm

OSVからnpmエコシステムの脆弱性が1件報告されました。

Next.js (CVE-2026-27977) — next devの開発用HMR WebSocketのCSRFチェックでOrigin: nullがバイパスケースとして扱われる問題。allowedDevOriginsを設定していても、サンドボックス化されたコンテキストから内部開発サーバー機能にアクセス可能。v16.1.7で修正。開発環境のみの影響ですが、攻撃者制御のコンテンツを訪問中にHMRモジュール実行が可能なため注意が必要です。

JVN 日本語情報

本日のMyJVNデータに該当する脆弱性対策情報はありませんでした。

まとめ

本日はCritical 6件を含む57件の脆弱性情報を確認しました。最注目はAIエージェントツールOpenClawへの20件の集中公開で、権限昇格（CVSS 9.9）やサンドボックス脱出などAIツール特有のセキュリティ課題が浮き彫りになりました。OpenClawを利用している場合は2026.3.13以降へのアップデートを推奨します。

Adobe Commerceのセッションハイジャック（CVE-2025-54236）はCISA KEVに追加されており、EC運営者は最優先で対応してください。IoTルータ関連のバッファオーバーフロー9件は、EOL製品を含むためリプレースの判断材料としても確認をお勧めします。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。