الثغرات ›

CVE-2026-33574

متوسط

CWE-367 — نوع الضعف

                    نُشر: Mar 29, 2026                      ·  آخر تحديث: Mar 30, 2026                      ·  المصدر: NVD                

CVSS v3

6.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.3.8 contains a path traversal vulnerability in the skills download installer that validates the tools root lexically but reuses the mutable path during archive download and copy operations. A local attacker can rebind the tools-root path between validation and final write to redirect the installer outside the intended tools directory.

🤖 ملخص AI

OpenClaw before version 2026.3.8 contains a path traversal vulnerability in its skills download installer that allows local attackers to redirect file writes outside the intended directory. The vulnerability exists because the application validates the tools root path lexically but reuses a mutable path during subsequent archive operations, creating a time-of-check-time-of-use (TOCTOU) condition.

📄 الوصف (العربية)

تحتوي ثغرة TOCTOU (Time-of-Check-Time-of-Use) في OpenClaw على عيب في التحقق من صحة المسار حيث يتم التحقق من جذر الأدوات مرة واحدة ولكن يتم استخدام المسار القابل للتغيير عدة مرات أثناء عمليات التنزيل والنسخ. يمكن لمهاجم محلي استغلال هذا التأخير الزمني بين التحقق والكتابة النهائية لإعادة ربط المسار وتوجيه الملفات إلى مواقع غير مقصودة. هذا قد يؤدي إلى الكتابة فوق الملفات الحساسة أو تثبيت برامج ضارة في مواقع نظام حرجة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.8 تحتوي على ثغرة اجتياز المسار في مثبت تنزيل المهارات التي تسمح للمهاجمين المحليين بإعادة توجيه عمليات الكتابة خارج الدليل المقصود. تنشأ الثغرة لأن التطبيق يتحقق من مسار جذر الأدوات بشكل معجمي لكنه يعيد استخدام مسار قابل للتغيير أثناء عمليات الأرشيف اللاحقة.

🤖 التحليل الذكي آخر تحليل: May 22, 2026 03:37

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom

🎯 تقنيات MITRE ATT&CK

T1547.001 T1574.006 T1036.004

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.8 or later immediately. Implement strict file permission controls on the tools directory to prevent unauthorized modifications. Monitor file system access patterns for suspicious path manipulation attempts. Apply principle of least privilege for user accounts running the installer.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.8 أو أحدث على الفور. طبق عناصر تحكم صارمة في أذونات الملفات على دليل الأدوات لمنع التعديلات غير المصرح بها. راقب أنماط الوصول إلى نظام الملفات للكشف عن محاولات معالجة المسار المريبة. طبق مبدأ أقل امتياز لحسابات المستخدمين التي تقوم بتشغيل المثبت.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.12.4.1 A.14.2.1

🔵 SAMA CSF

CC6.1 CC6.2

🟡 ISO 27001:2022

A.12.4.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/9abf014f3502009faf9c73df5ca2cff719e54639

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-vhwf-4x96-vqx2

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-path-traversal-via-tools-root-rebinding-i...

disclosure@vulncheck.com

📊 CVSS Score

6.2

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.2

CWECWE-367

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-29

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-367

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-33574

عرّفنا بنفسك

تسجيل الدخول مطلوب