JVNDB-2026-004496

OpenClawにおけるOS コマンドインジェクションの脆弱性

OpenClawはパーソナルAIアシスタントです。バージョン2026.1.8から2026.2.13までの間、メンテナや開発者向けのスクリプト`scripts/update-clawtributors.ts`にコマンドインジェクションの脆弱性が存在しました。この問題は、悪意のあるコミット作者のメールアドレス（例えば、巧妙に作成された`@users[.]noreply[.]github[.]com`の値）を含むソースコードのチェックアウトで`bun scripts/update-clawtributors.ts`を実行する貢献者やメンテナ（またはCI）に影響します。通常のCLIの使用（`npm i -g openclaw`によるインストール）には影響しません。このスクリプトは出荷されるCLIの一部ではなく、通常の操作中には実行されません。スクリプトは`git log`の作者メタデータからGitHubログインを取得し、それをシェルコマンド（`execSync`経由）に埋め込んでいました。悪意のあるコミットレコードはシェルのメタ文字を注入し、スクリプト実行時に任意のコマンドを実行される可能性がありました。バージョン2026.2.14にはこの問題を修正するパッチが含まれています。

OpenClaw

• OpenClaw 2026.1.8 以上 2026.2.14 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Command injection in maintainer clawtributors updater  Advisory  openclaw/openclaw  GitHub

1. OSコマンドインジェクション(CWE-78) [その他]

1. CVE-2026-26323

1. National Vulnerability Database (NVD) : CVE-2026-26323
2. 関連文書 : Release openclaw 2026.2.14  openclaw/openclaw  GitHub
3. 関連文書 : fix(scripts): harden clawtributors updater  openclaw/openclaw@a429380  GitHub

• [2026年02月24日]
    掲載