はじめに
人気のnpmパッケージ「ClawDBot」において、深刻度の高い認証バイパスの脆弱性が発見されました。この脆弱性により、攻撃者は悪意のあるリンクをワンクリックさせるだけで、リモートコード実行(RCE)を達成できる可能性があります。
脆弱性の概要
この脆弱性(GHSA-g8p2-7wf7-98mq)は、ClawDBotのバージョンv2026.1.28までの影響を受けます。主な原因は、Control UIがクエリ文字列から直接「gatewayUrl」パラメーターを受け入れ、その検証が不十分であることと、ページロード時にWebSocket接続を自動的に開始する挙動にあります。
この接続プロセス中に、保存されているゲートウェイ認証トークンが、指定されたエンドポイントに接続ペイロードとして送信されます。攻撃者は、自身のインフラストラクチャを指す不正な「gatewayUrl」パラメーターを含む悪意のあるURLを作成するか、フィッシングサイトをホストすることでこの脆弱性を悪用できます。被害者がClawDBot Control UIに認証済みの状態でそのリンクにアクセスすると、ゲートウェイのトークンが自動的に攻撃者のサーバーに流出します。
攻撃の影響
トークンが侵害されると、攻撃者は被害者のゲートウェイAPIへのオペレーターレベルのアクセス権を獲得します。これにより、サンドボックス設定やツールポリシーを含むゲートウェイ設定を任意に変更できるようになり、最終的にはゲートウェイの完全な侵害とホストシステム上でのリモートコード実行につながります。
この脆弱性は、localhostでのみリッスンするように設定されたインスタンスであっても悪用可能であるため、特に危険です。被害者のブラウザが攻撃者によって制御されるサーバーへのアウトバウンド接続を開始するため、ゲートウェイのネットワーク分離は保護になりません。
ベンダーによる対応と推奨事項
ベンダーはClawDBot v2026.1.29でこの問題に対処しており、新しいゲートウェイURLに対してUIで必須のユーザー確認を導入しています。ユーザーは直ちにパッチが適用されたバージョンへのアップグレードが推奨されます。
組織は、不審なトークンアクティビティがないかゲートウェイアクセスログを監査し、不正な設定変更がないか監視する必要があります。