脆弱性  ·  2026-07-18

OpenClaw フック allowedAgentIds バイパス (空のエージェント ID 経由) (CVE-2026-62219)

脆弱性Medium 影響度GlobalCVE-2026-62219
OpenClaw 2026.2.12 から 2026.5.26 前には、フック allowedAgentIds 検証における認可バイパス脆弱性が含まれています。下位信頼呼び出し元または構成されたインプット パスは、空のエージェント ID を送信することで、エージェント ID 制限をバイパスでき、より強い認可またはポリシー チェックを必要とするアクションを実行することができます。NVD が 2026-07-16/17 に公開、CVSS 7.1 (High、CVSS v3.1)。
エージェント ID ベースのアクセス制限は、マルチエージェント OpenClaw デプロイメントで、どのエージェントがどのフック/アクションをトリガーできるかを分離するための基本的な制御です。自明な空値バイパスはその分離を損なわせ、許可されていない、または下位信頼エージェントが特定の許可されたエージェント ID のみを対象とするフック ゲート アクションをトリガーできるようにする可能性があります。
allowedAgentIds 制限チェックをバイパスするために、フック検証ロジックに空/空の agentId 値を送信
OpenClaw 2026.2.12 から 2026.5.26 前
OpenClaw 2026.5.26 以降にアップグレードしてください。GitHub セキュリティ アドバイザリ GHSA-724r-v4wf-mqc5 を参照してください。
GitHub Security Advisory GHSA-724r-v4wf-mqc5NVD CVE-2026-62219
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →