つみかさね

【セキュリティ日報】OpenClawにCVSS 9.9含むCritical 5件、Adobe Commerce CISA KEV — 計57件

2026-03-30データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high推奨
CVE-2026-32914 — OpenClaw /config /debug アクセス制御不足
CVE-2026-32914
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5035 — Accounting System SQLインジェクション(view_work)
CVE-2026-5035
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5021 — Tenda F453 バッファオーバーフロー
CVE-2026-5021
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5034 — Accounting System SQLインジェクション(edit_costumer)
CVE-2026-5034
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-32915 — OpenClaw サンドボックス境界バイパス
CVE-2026-32915
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5036 — Tenda 4G06 バッファオーバーフロー
CVE-2026-5036
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-33572 — OpenClaw セッションファイル権限不備
CVE-2026-33572
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-33573 — OpenClaw ワークスペース境界バイパス
CVE-2026-33573
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5033 — Accounting System SQLインジェクション(view_costumer)
CVE-2026-5033
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5024 — D-Link DIR-513 バッファオーバーフロー
CVE-2026-5024
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5018 — Simple Food Order System SQLインジェクション(register)
CVE-2026-5018
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-33575 — OpenClaw ペアリングコード認証情報露出
CVE-2026-33575
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5019 — Simple Food Order System SQLインジェクション(all-orders)
CVE-2026-5019
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5042 — Belkin F9K1122 formCrossBandSwitch バッファオーバーフロー
CVE-2026-5042
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5043 — Belkin F9K1122 formSetPassword バッファオーバーフロー
CVE-2026-5043
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-32974 — OpenClaw Feishu webhook認証バイパス
CVE-2026-32974
修正バージョンへのアップデートを推奨
high対応必須
CVE-2026-32975 — OpenClaw Zalo許可リスト認可不備
CVE-2026-32975
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5044 — Belkin F9K1122 formSetSystemSettings バッファオーバーフロー
CVE-2026-5044
修正バージョンへのアップデートを推奨
high対応必須
CVE-2025-54236 — Adobe Commerce セッションハイジャック
CVE-2025-54236
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5045 — Tenda FH1201 WrlclientSet バッファオーバーフロー
CVE-2026-5045
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-32972 — OpenClaw ブラウザプロファイル認可バイパス
CVE-2026-32972
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5046 — Tenda FH1201 formWrlExtraSet バッファオーバーフロー
CVE-2026-5046
修正バージョンへのアップデートを推奨
high対応必須
CVE-2026-32973 — OpenClaw exec許可リストバイパス
CVE-2026-32973
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-32980 — OpenClaw Telegram webhookリソース枯渇
CVE-2026-32980
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-32978 — OpenClaw 承認バイパス(TOCTOU)
CVE-2026-32978
修正バージョンへのアップデートを推奨
high対応必須
CVE-2026-32987 — OpenClaw デバイスペアリング リプレイ攻撃
CVE-2026-32987
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-32979 — OpenClaw ノードホスト承認TOCTOU
CVE-2026-32979
修正バージョンへのアップデートを推奨
high対応必須
CVE-2026-32922 — OpenClaw device.token.rotate 権限昇格
CVE-2026-32922
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5017 — Simple Food Order System SQLインジェクション(all-tickets)
CVE-2026-5017
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5016 — elecV2P /mock SSRF
CVE-2026-5016
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-5012 — elecV2P /rpc OSコマンドインジェクション
CVE-2026-5012
修正バージョンへのアップデートを推奨
high対応必須
CVE-2026-32924 — OpenClaw Feishu リアクション認可バイパス
CVE-2026-32924
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-32918 — OpenClaw セッションサンドボックス脱出
CVE-2026-32918
修正バージョンへのアップデートを推奨
high推奨
CVE-2026-34005 — Xiongmai DVR/NVR OSコマンドインジェクション
CVE-2026-34005
修正バージョンへのアップデートを推奨
CVENVD脆弱性OpenClawAdobe CommerceIoTNext.jsnpm

本日はNVDから56件、OSVから1件の計57件を確認しました。Critical 6件、High 28件。AIエージェントツール OpenClaw に権限昇格・認可バイパスなど20件の脆弱性が集中公開されており、5件がCriticalです。Adobe Commerce(CVE-2025-54236)はCISA KEVに追加されています。

本日の概要

指標数値
分析CVE57件
Critical (9.0+)6件
High (7.0-8.9)28件
Medium (4.0-6.9)13件
Low (~3.9)1件
未評価 / None8件
OSV監視対象1件
GHSA更新0件
JVN更新0件

Critical / High 脆弱性の詳細

OpenClaw AIエージェントツール — 20件の脆弱性(Critical 5件)

AIエージェントツール OpenClaw に20件の脆弱性が一斉公開されました。権限昇格、認可バイパス、サンドボックス脱出、TOCTOU攻撃など深刻な問題が含まれます。バージョン2026.3.8〜2026.3.13で順次修正されています。

Critical

CVE ID概要CVSS
CVE-2026-32922device.token.rotateでスコープ制約なしにトークン発行→権限昇格・RCE9.9
CVE-2026-32924Feishuリアクションイベントのchat_type省略で認可バイパス9.8
CVE-2026-32973exec許可リストのパターンマッチが大文字小文字正規化+globでオーバーマッチ9.8
CVE-2026-32975Zaloユーザー許可リストが変更可能なグループ表示名で照合9.8
CVE-2026-32987デバイスペアリングのbootstrapセットアップコードがリプレイ可能9.8

High

CVE ID概要CVSS
CVE-2026-32914/configと/debugコマンドのアクセス制御不足8.8
CVE-2026-32915サブエージェントが親のリクエスタスコープにアクセス可能8.8
CVE-2026-33573ゲートウェイエージェントRPCでワークスペース境界バイパス8.8
CVE-2026-32974Feishu webhook認証バイパス(verificationTokenのみ設定時)8.6
CVE-2026-32918session_statusツールで任意セッション状態にアクセス8.4
CVE-2026-33572セッションJSONLファイルの過剰なデフォルト権限8.4
CVE-2026-32978承認整合性のTOCTOU攻撃(tsxやjitiスクリプトランナー)8.0
CVE-2026-32980Telegram webhookの未認証リクエストによるリソース枯渇7.5
CVE-2026-33575ペアリングセットアップコードに長寿命の共有認証情報が埋め込み7.5
CVE-2026-32979承認バイパスのTOCTOU攻撃(ファイルバインド不能時)7.3
CVE-2026-32972ブラウザプロファイル管理の認可バイパス7.1

OpenClawを利用している場合は、少なくとも2026.3.13以降へのアップデートを強く推奨します。特にdevice.token.rotateの権限昇格(CVE-2026-32922、CVSS 9.9)は即時対応が必要です。

CVE-2025-54236 — Adobe Commerce セッションハイジャック(CISA KEV)

  • CVSSスコア: 9.1(Critical)
  • CWE: CWE-20(不正入力検証)
  • 影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前
  • CISA KEV: 登録済み

Adobe Commerce(Magento)の不正入力検証の脆弱性により、セッション乗っ取りが可能です。CISA KEV(既知の悪用済み脆弱性カタログ) に登録されており、実際の攻撃が確認されています。Adobe Commerceを運用している場合は最優先で対応してください。

IoTルータ・ネットワーク機器 — バッファオーバーフロー 9件

コンシューマ向けネットワーク機器にスタックベースのバッファオーバーフローが集中しています。すべてリモートから悪用可能です。

CVE ID対象CVSS
CVE-2026-5021Tenda F453 1.0.0.38.8
CVE-2026-5024D-Link DIR-513 1.10(EOL)8.8
CVE-2026-5036Tenda 4G06 04.06.01.298.8
CVE-2026-5042Belkin F9K1122 1.00.338.8
CVE-2026-5043Belkin F9K1122 1.00.338.8
CVE-2026-5044Belkin F9K1122 1.00.338.8
CVE-2026-5045Tenda FH1201 1.2.0.148.8
CVE-2026-5046Tenda FH1201 1.2.0.148.8
CVE-2026-34005Xiongmai DVR/NVR 4.03.R118.8

D-LinkとBelkinの製品はベンダーの応答がない(EOLまたはサポート終了)ため、利用している場合はリプレースの検討を推奨します。Xiongmai DVR/NVRはTCPポート34567経由のDVRIPプロトコルでOSコマンドインジェクションが可能です。

その他の注目すべきHigh脆弱性

CVE ID対象概要CVSS
CVE-2026-5012elecV2P/rpcエンドポイントのOSコマンドインジェクション7.3
CVE-2026-5016elecV2P/mockエンドポイントのSSRF7.3
CVE-2026-5017Simple Food Order System/all-tickets.phpのSQLインジェクション7.3
CVE-2026-5018Simple Food Order Systemregister-router.phpのSQLインジェクション7.3
CVE-2026-5019Simple Food Order Systemall-orders.phpのSQLインジェクション7.3
CVE-2026-5033Accounting System/view_costumer.phpのSQLインジェクション7.3
CVE-2026-5034Accounting System/edit_costumer.phpのSQLインジェクション7.3
CVE-2026-5035Accounting System/view_work.phpのSQLインジェクション7.3

エコシステム別サマリー

npm

OSVからnpmエコシステムの脆弱性が1件報告されました。

  • Next.js (CVE-2026-27977) — next devの開発用HMR WebSocketのCSRFチェックでOrigin: nullがバイパスケースとして扱われる問題。allowedDevOriginsを設定していても、サンドボックス化されたコンテキストから内部開発サーバー機能にアクセス可能。v16.1.7で修正。開発環境のみの影響ですが、攻撃者制御のコンテンツを訪問中にHMRモジュール実行が可能なため注意が必要です。

JVN 日本語情報

本日のMyJVNデータに該当する脆弱性対策情報はありませんでした。

まとめ

本日はCritical 6件を含む57件の脆弱性情報を確認しました。最注目はAIエージェントツールOpenClawへの20件の集中公開で、権限昇格(CVSS 9.9)やサンドボックス脱出などAIツール特有のセキュリティ課題が浮き彫りになりました。OpenClawを利用している場合は2026.3.13以降へのアップデートを推奨します。

Adobe Commerceのセッションハイジャック(CVE-2025-54236)はCISA KEVに追加されており、EC運営者は最優先で対応してください。IoTルータ関連のバッファオーバーフロー9件は、EOL製品を含むためリプレースの判断材料としても確認をお勧めします。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。