OpenClawの重大なRCE脆弱性（CVE-2026-25253）が最新アップデートで修正

OpenClawの高リスクRCE脆弱性（CVE-2026-25253）が修正される

セキュリティ研究者らは、OpenClaw（旧称：Clawdbot、Moltbot）に存在する重大な脆弱性を公表しました。この脆弱性は、特別に細工された悪意あるリンクを通じて、ワンクリックでのリモートコード実行（RCE）を可能にするものです。この脆弱性はCVE-2026-25253として追跡され、CVSSスコア8.8の高リスクと評価されています。修正は2026年1月30日にリリースされたバージョン2026.1.29で行われました。

技術的詳細

この脆弱性は、トークン流出の問題に起因しており、攻撃者がユーザーセッションを乗っ取り、標的システム上で任意のコードを実行できる可能性があります。具体的な攻撃手法はまだ公開されていませんが、この脆弱性の深刻度は、ドライブバイ攻撃（被害者が悪意あるリンクをクリックするだけでRCEが引き起こされる攻撃）のリスクを強調しています。

OpenClawは、自動化およびボット管理フレームワークとして広く利用されており、ウェブベースのワークフローとの統合により、特に脆弱性の影響を受けやすい状況にあります。このパッチでは、トークン処理の根本的なメカニズムが修正され、不正アクセスによるセッションデータの漏洩が防止されています。

影響分析

• 攻撃経路：フィッシングやマルバタイジングキャンペーンを通じたワンクリックRCE。
• 深刻度：高（CVSS 8.8）。OpenClawの普及状況を考慮すると、広範囲に影響を及ぼす可能性あり。
• 攻撃対象：OpenClawを利用するウェブアプリケーション、自動化スクリプト、ボット駆動のワークフロー。
• 対策状況：v2026.1.29で完全に修正済み。回避策はなし。

推奨対策

セキュリティチームは以下の対策を実施することが推奨されます：

1. 直ちにアップグレード：OpenClawをv2026.1.29以降に更新。
2. システム監査：トークン流出や不正アクセスの兆候がないか確認。
3. ユーザー教育：フィッシングリンクを見分ける方法を周知（主な攻撃経路）。
4. ネットワーク監視：不審なアウトバウンド接続を監視し、攻撃の兆候を検知。

即時のパッチ適用が困難な組織では、厳格な入力検証やセッション分離によりリスクを低減できる可能性がありますが、これらは完全な対策とはなりません。

CVE参照：CVE-2026-25253