← 戻る
CVE-2026-53857
high
CVSS 8.1
OpenClaw: Zalo allowFrom could bind to mutable display names
概要
OpenClaw: Zalo allowFrom could bind to mutable display names
AI要約 openai / gpt-4o
OpenClawのバージョン2026.5.3以前に、Zaloの連絡先に対するポリシーの適用に脆弱性があり、表示名を変更することで許可ポリシーエントリに一致させることが可能です。これにより攻撃者が異なるZalo IDに対するエージェントの応答を受け取る可能性があります。
❓ 何が問題か
Zaloの連絡先で、表示名を変更することでポリシーエントリに一致させることが可能な脆弱性。
📍 影響範囲
OpenClawのバージョン2026.5.3以前。
🔥 重要度
攻撃者が意図されていないZalo IDへの応答を受け取る可能性がある。重要度は高い。
🔧 修正方法
バージョン2026.5.3以降にアップデートすること。
🛡️ 暫定回避
該当機能の利用を避けるか、ポリシー設定を見直す。
🔍 検知方法
表示名の変更を監視し、不審な動きがないか確認する。
影響パッケージ
npm
openclaw
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"2026.5.3"}]}]
参照URL
- web https://github.com/openclaw/openclaw/security/advisories/GHSA-8c59-hr4w-qg69
- web https://www.vulncheck.com/advisories/openclaw-mutable-display-name-binding-in-zalo-allowfrom-policy
- web https://nvd.nist.gov/vuln/detail/CVE-2026-53857
- web https://github.com/advisories/GHSA-w7m7-3xcf-mp48
- web https://github.com/advisories/GHSA-8c59-hr4w-qg69