📄 Description (English)
OpenClaw versions prior to 2026.2.21 incorrectly apply tokenless Tailscale header authentication to HTTP gateway routes, allowing bypass of token and password requirements. Attackers on trusted networks can exploit this misconfiguration to access HTTP gateway routes without proper authentication credentials.
🤖 AI Executive Summary
OpenClaw versions before 2026.2.21 contain an authentication bypass vulnerability in HTTP gateway routes due to improper application of Tailscale header authentication. Attackers on trusted networks can access protected routes without valid credentials. While no public exploit exists and patches are unavailable, this vulnerability poses a moderate risk to organizations using OpenClaw in network gateway deployments, particularly those relying on Tailscale for network segmentation.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 24, 2026 16:19
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability primarily affects Saudi organizations using OpenClaw for network gateway and API management, particularly in: (1) Banking and Financial Services (SAMA-regulated entities) relying on Tailscale for secure network access to payment systems and APIs; (2) Government agencies (NCA oversight) using OpenClaw for internal service routing; (3) Telecommunications providers (STC, Mobily) managing internal API gateways; (4) Energy sector (ARAMCO, utilities) with OpenClaw deployments for operational technology network segmentation. The impact is limited to attackers already on trusted networks, reducing immediate risk but requiring urgent remediation for organizations with sensitive internal services exposed through OpenClaw.
🏢 Affected Saudi Sectors
Banking and Financial Services
Government and Public Administration
Telecommunications
Energy and Utilities
Healthcare
Technology and IT Services
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
6.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Audit all OpenClaw deployments to identify HTTP gateway routes currently using Tailscale header authentication
2. Review access logs for suspicious authentication patterns or unauthorized access attempts to gateway routes
3. Verify network segmentation and confirm which users/systems have access to trusted networks where OpenClaw is deployed
Compensating Controls (until patch available):
1. Implement additional authentication layer: enforce token-based authentication at application level, independent of OpenClaw gateway configuration
2. Network segmentation: restrict access to OpenClaw HTTP gateway routes to specific IP ranges or VPN endpoints using firewall rules
3. Disable tokenless Tailscale header authentication: configure OpenClaw to require explicit token validation for all HTTP gateway routes
4. Enable request logging and monitoring: log all HTTP gateway access attempts with source IP, headers, and authentication status
5. Implement WAF rules to validate authentication headers before requests reach OpenClaw
Detection Rules:
1. Alert on HTTP requests to OpenClaw gateway routes with missing or invalid authentication tokens
2. Monitor for repeated failed authentication attempts followed by successful access
3. Flag requests with Tailscale headers but no corresponding token validation
4. Track access to sensitive gateway routes from unexpected source IPs within trusted networks
Patching:
1. Subscribe to OpenClaw security advisories for patch availability
2. Prepare upgrade plan to version 2026.2.21 or later once available
3. Test patches in non-production environment before deployment
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تدقيق جميع نشرات OpenClaw لتحديد مسارات بوابة HTTP التي تستخدم حالياً مصادقة رأس Tailscale
2. مراجعة سجلات الوصول للبحث عن أنماط مصادقة مريبة أو محاولات وصول غير مصرح بها إلى مسارات البوابة
3. التحقق من تقسيم الشبكة والتأكد من المستخدمين/الأنظمة التي لديها إمكانية الوصول إلى الشبكات الموثوقة
الضوابط البديلة (حتى توفر التصحيح):
1. تنفيذ طبقة مصادقة إضافية: فرض مصادقة قائمة على الرموز على مستوى التطبيق، بشكل مستقل عن تكوين بوابة OpenClaw
2. تقسيم الشبكة: تقييد الوصول إلى مسارات بوابة HTTP في OpenClaw إلى نطاقات IP محددة أو نقاط نهاية VPN باستخدام قواعد جدار الحماية
3. تعطيل مصادقة رأس Tailscale بدون رموز: تكوين OpenClaw لفرض التحقق من الرموز الصريحة لجميع مسارات بوابة HTTP
4. تفعيل تسجيل المراقبة: تسجيل جميع محاولات الوصول إلى بوابة HTTP مع عنوان IP المصدر والرؤوس وحالة المصادقة
5. تنفيذ قواعد WAF للتحقق من رؤوس المصادقة قبل وصول الطلبات إلى OpenClaw
قواعد الكشف:
1. تنبيهات على طلبات HTTP إلى مسارات بوابة OpenClaw بدون رموز مصادقة صحيحة أو مفقودة
2. مراقبة محاولات المصادقة الفاشلة المتكررة متبوعة بوصول ناجح
3. وضع علامة على الطلبات برؤوس Tailscale بدون التحقق من الرموز المقابلة
4. تتبع الوصول إلى مسارات البوابة الحساسة من عناوين IP غير متوقعة ضمن الشبكات الموثوقة
التصحيح:
1. الاشتراك في تنبيهات أمان OpenClaw لتوفر التصحيحات
2. تحضير خطة الترقية إلى الإصدار 2026.2.21 أو أحدث عند توفره
3. اختبار التصحيحات في بيئة غير الإنتاج قبل النشر
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.9.2.1 - User access management and authentication controls
ECC 2024 A.9.4.3 - Password management systems
ECC 2024 A.14.2.1 - Secure development policy
ECC 2024 A.13.1.3 - Segregation of networks
🔵 SAMA CSF
SAMA CSF ID.AM-2 - Software, platforms, and applications inventory
SAMA CSF PR.AC-1 - Access control policy and procedures
SAMA CSF PR.AC-2 - Physical and logical access controls
SAMA CSF DE.CM-1 - Network monitoring and detection
🟡 ISO 27001:2022
ISO 27001:2022 A.5.15 - Access control
ISO 27001:2022 A.8.2 - User endpoint devices
ISO 27001:2022 A.8.3 - User access management
ISO 27001:2022 A.9.2 - User access management
🟣 PCI DSS v4.0.1
PCI DSS 2.1 - Default security parameters
PCI DSS 6.2 - Security patches and updates
PCI DSS 7.1 - Limit access to system components
PCI DSS 8.2 - User authentication and password management
🔗 References & Sources 3
🔗
🔗
🔗
https://github.com/openclaw/openclaw/commit/356d61aacfa5b0f1d5830716ec59d70682a3e7b8
disclosure@vulncheck.com
https://github.com/openclaw/openclaw/security/advisories/GHSA-hff7-ccv5-52f8
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-authentication-bypass-in-http-gateway-rou...
disclosure@vulncheck.com