OpenClawにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
| Title |
OpenClawにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
|
| Summary |
OpenClawの2026年4月22日以前のバージョンには、OpenShellファイルシステムブリッジにおいて時刻検査および使用時にレースコンディションが存在し、攻撃者が意図されたマウントルート外のファイルを読み取ることが可能です。攻撃者はファイルシステム操作中にシンボリックリンクの置換を悪用してサンドボックスの制限を回避し、不正なファイルの内容にアクセスできます。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 6, 2026, midnight |
| Registration Date |
May 11, 2026, 10:55 a.m. |
| Last Update |
May 11, 2026, 10:55 a.m. |
|
CVSS3.0 : 警告
|
| Score |
6.3
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N |
Affected System
| OpenClaw |
|
OpenClaw 2026.4.22 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月11日]
掲載 |
May 11, 2026, 10:55 a.m. |
NVD Vulnerability Information
CVE-2026-44113
| Summary |
OpenClaw before 2026.4.22 contains a time-of-check/time-of-use race condition in the OpenShell filesystem bridge that allows attackers to read files outside the intended mount root. Attackers can exploit symlink swaps during filesystem operations to bypass sandbox restrictions and access unauthorized file contents.
|
| Publication Date |
May 7, 2026, 5:16 a.m. |
| Registration Date |
May 8, 2026, 4:08 a.m. |
| Last Update |
May 8, 2026, 2:08 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* |
|
|
|
2026.4.22 |
Related information, measures and tools
Common Vulnerabilities List