何が起きたか
CVE-2026-53860 (CVSS 4.2 MEDIUM) は 2026-06-16 に公開されました。OpenClaw 2026.5.7 未満には、BlueBubbles インテグレーションに sender policy bypass が存在し、参加者は安定した送信者 ID 検証ではなく、会話メタデータ操作を通じて allowlist エントリに一致することができます。
なぜ重要か
OpenClaw のメッセージング インテグレーション全体における mutable-identity policy bypass のパターンを継続しています。影響範囲は限定的です (BlueBubbles は Apple Messages ブリッジのニッチなツール) であり、CVSS は低めですが、Discord および Zalo バリアントと同じ基本的な設計欠陥があります。
攻撃経路
攻撃者は BlueBubbles の会話レベルの識別子に影響を与えて allowlist エントリに一致させ、OpenClaw がエージェント応答を意図しない受信者にルーティングさせます。
影響を受けるシステム
OpenClaw < 2026.5.7 (BlueBubbles インテグレーション)
緩和策
OpenClaw をバージョン 2026.5.7 以降にアップグレードしてください。Advisory: https://github.com/openclaw/openclaw/security/advisories/GHSA-8j37-5w68-wj2g