Vulnerabilities ›

CVE-2026-32972

High

CWE-863 — Weakness Type

                    Published: Mar 29, 2026                      ·  Modified: Apr 5, 2026                      ·  Source: NVD                

CVSS v3

7.1

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.3.11 contains an authorization bypass vulnerability allowing authenticated operators with only operator.write permission to access admin-only browser profile management routes through browser.request. Attackers can create or modify browser profiles and persist attacker-controlled remote CDP endpoints to disk without holding operator.admin privileges.

🤖 AI Executive Summary

OpenClaw versions before 2026.3.11 contain an authorization bypass vulnerability allowing authenticated operators with limited permissions to access admin-only browser profile management features. Attackers can create or modify browser profiles and persist malicious remote CDP endpoints without requiring admin privileges.

📄 Description (Arabic)

تسمح هذه الثغرة للمشغلين المصرح لهم بصلاحيات محدودة (operator.write) بتجاوز فحوصات التفويض والوصول إلى مسارات إدارة ملفات المتصفح المقتصرة على المسؤولين. يمكن للمهاجمين استغلال هذا الضعف لإنشاء ملفات تعريف متصفح ضارة وحفظ نقاط نهاية CDP بعيدة خاضعة للسيطرة على القرص. هذا يمكن أن يؤدي إلى تنفيذ كود بعيد وسيطرة غير مصرح بها على بيئة المتصفح.

🤖 ملخص تنفيذي (AI)

OpenClaw قبل الإصدار 2026.3.11 يحتوي على ثغرة تجاوز التفويض تسمح للمشغلين المصرح لهم بصلاحيات محدودة بالوصول إلى ميزات إدارة ملفات المتصفح المقتصرة على المسؤولين. يمكن للمهاجمين إنشاء أو تعديل ملفات تعريف المتصفح والحفاظ على نقاط نهاية CDP بعيدة خاضعة للسيطرة دون الحاجة إلى صلاحيات المسؤول.

🤖 AI Intelligence Analysis Analyzed: May 9, 2026 22:18

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom

🎯 MITRE ATT&CK Techniques

T1548.002 T1078.001 T1548.003

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.11 or later immediately. Implement strict role-based access control (RBAC) enforcement for browser profile management routes. Audit all existing browser profiles and CDP endpoints for unauthorized modifications. Restrict operator.write permissions to non-sensitive operations only. Monitor authentication logs for suspicious profile creation or modification attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.11 أو أحدث فوراً. طبق فرض التحكم في الوصول القائم على الأدوار (RBAC) الصارم لمسارات إدارة ملفات تعريف المتصفح. قم بتدقيق جميع ملفات التعريف الموجودة ونقاط نهاية CDP للتعديلات غير المصرح بها. قيد صلاحيات operator.write للعمليات غير الحساسة فقط. راقب سجلات المصادقة للمحاولات المريبة لإنشاء أو تعديل الملفات الشخصية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-vmhq-cqm9-6p7q

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-authorization-bypass-in-browser-profile-m...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

7.1

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityL — Low / Local

📋 Quick Facts

Severity High

CVSS Score7.1

CWECWE-863

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-03-29

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-863

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-32972

💬 Comments

Introduce Yourself

Sign In Required