← 戻る
CVE-2026-53864
high
CVSS 8.1
OpenClaw: Host environment sanitizer missed two Node.js control variables
概要
OpenClaw: Host environment sanitizer missed two Node.js control variables
AI要約 openai / gpt-4o
OpenClawのバージョン2026.5.26以前には、ホスト環境のサニタイザにおいて不十分なサニタイズの脆弱性がある。この脆弱性により、攻撃者はNode.jsの制御変数をバリデーションを無効にして渡すことができ、それを用いて子プロセスやカバレッジ出力パスに影響を与えることが可能になる。
❓ 何が問題か
OpenClawのホスト環境サニタイザにおける不十分なサニタイゼーションの脆弱性。
📍 影響範囲
OpenClawのバージョン2026.5.26以前。
🔥 重要度
攻撃者がNode.jsの制御変数を利用し、子プロセスやカバレッジ出力パスに影響を与える可能性がある。
🔧 修正方法
OpenClawのバージョンを2026.5.26以降にアップデートする。
🛡️ 暫定回避
環境変数へのアクセス制御を強化し、信頼できないユーザーによる改変を防ぐ。
🔍 検知方法
脆弱なバージョンのOpenClawを使用しているかを確認する。
影響パッケージ
npm
openclaw
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"2026.5.26"}]}]