概要
OpenClawのバージョン2026.3.11より前の製品において、認証バイパスの脆弱性(CVE-2026-32919)が発見されました。この脆弱性により、通常は管理者のみが実行できるセッションリセット機能に、限定的な書き込み権限(operator.writeスコープ)を持つユーザーがアクセスできてしまうと報告されています。攻撃者は、エージェントリクエスト内で「/new」または「/reset」といったスラッシュコマンドを使用することで、管理者権限を持たずに特定の会話セッションの状態をリセットする可能性があります。
影響範囲
- 対象製品: OpenClaw
- 対象バージョン: 2026.3.11より前のすべてのバージョン
想定される影響
本脆弱性が悪用された場合、攻撃者は管理者権限なしに、標的とする会話セッションの状態をリセットできる可能性があります。これにより、ユーザーのセッションが意図せず中断されたり、進行中のプロセスがリセットされたりするなど、サービス運用に混乱が生じる恐れがあります。
攻撃成立条件・悪用状況
攻撃が成立するためには、攻撃者がoperator.writeスコープの権限を保持している必要があります。この権限を持つ攻撃者は、エージェントリクエストを通じて「/new」または「/reset」スラッシュコマンドを発行することで、管理者権限なしにセッションリセットロジックに到達できるとされています。
現時点では、本脆弱性の悪用状況に関する具体的な情報は報告されていません。
推奨対策
今すぐできる対策
- OpenClawのアップデート: 最も重要な対策は、OpenClawをバージョン2026.3.11以降に速やかにアップデートすることです。これにより、本脆弱性が修正されます。
中長期的な対策
- アクセス権限の見直し: 最小権限の原則に基づき、各ユーザーやロールに付与されているアクセス権限(特に
operator.writeスコープなど)を定期的に見直し、必要最小限に制限することを検討してください。 - セキュリティパッチの適用計画: 今後も同様の脆弱性が発見される可能性を考慮し、セキュリティパッチやアップデートを迅速に適用できる体制を構築してください。
一時的な緩和策
直ちにアップデートが困難な場合、一時的な緩和策として、エージェントリクエストにおける「/new」や「/reset」といったスラッシュコマンドの使用状況を監視し、operator.writeスコープを持つ非管理者ユーザーからの不審なリクエストがないか確認することが考えられます。ただし、これは根本的な解決策ではないため、可能な限り速やかにアップデートを実施してください。
確認方法
現在ご利用のOpenClawのバージョンを確認し、2026.3.11より前のバージョンである場合は、本脆弱性の影響を受ける可能性があります。
参考情報
- CVEfeed.io: https://cvefeed.io/vuln/detail/CVE-2026-32919