CVE-2026-44112
| Summary |
OpenClaw before 2026.4.22 contains a time-of-check/time-of-use race condition in OpenShell sandbox filesystem writes that allows attackers to redirect writes outside the intended mount root. Attackers can exploit symlink swaps during filesystem operations to bypass sandbox restrictions and write files outside the local mount root.
|
| Publication Date |
May 7, 2026, 5:16 a.m. |
| Registration Date |
May 8, 2026, 4:08 a.m. |
| Last Update |
May 14, 2026, 2:16 a.m. |
|
CVSS3.1 : MEDIUM
|
| スコア |
6.3
|
| Vector |
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
高 |
| 攻撃に必要な特権レベル(PR) |
低 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更あり |
| 機密性への影響(C) |
なし |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
なし |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* |
|
|
|
2026.4.22 |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
OpenClawにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
| Title |
OpenClawにおけるTime-of-check Time-of-use (TOCTOU) 競合状態の脆弱性
|
| Summary |
OpenClawの2026年4月22日以前のバージョンには、OpenShellサンドボックスのファイルシステム書き込みにおいて、チェック時点と使用時点の競合状態(TOCTOUレースコンディション)が存在します。この脆弱性により、攻撃者は書き込み先を意図されたマウントルート外にリダイレクトすることが可能です。攻撃者はファイルシステム操作中のシンボリックリンクのすり替えを悪用して、サンドボックスの制限を回避し、ローカルのマウントルート外にファイルを書き込むことができます。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 6, 2026, midnight |
| Registration Date |
May 11, 2026, 10:55 a.m. |
| Last Update |
May 11, 2026, 10:55 a.m. |
Affected System
| OpenClaw |
|
OpenClaw 2026.4.22 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月11日]
掲載 |
May 11, 2026, 10:55 a.m. |