Vulnerabilities ›

CVE-2026-35631

Medium

CWE-862 — Weakness Type

                    Published: Apr 9, 2026                      ·  Modified: Apr 12, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.3.22 fails to enforce operator.admin scope on mutating internal ACP chat commands, allowing unauthorized modifications. Attackers without admin privileges can execute mutating control-plane actions by directly invoking affected ACP commands to bypass authorization gates.

🤖 AI Executive Summary

OpenClaw versions before 2026.3.22 fail to enforce proper authorization checks on administrative chat commands, allowing non-admin users to execute privileged operations. Attackers can bypass authorization controls to perform unauthorized modifications to the control plane.

📄 Description (Arabic)

يفشل OpenClaw في فرض نطاق operator.admin على أوامر ACP الداخلية المتحورة، مما يسمح للمستخدمين غير المصرح لهم بتنفيذ إجراءات تحكم مستوى الطائرة. يمكن للمهاجمين استدعاء أوامر ACP المتأثرة مباشرة لتجاوز بوابات التفويض والقيام بتعديلات غير مصرح بها.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.22 تفشل في فرض فحوصات التفويض المناسبة على أوامر الدردشة الإدارية، مما يسمح للمستخدمين غير المسؤولين بتنفيذ عمليات مميزة. يمكن للمهاجمين تجاوز عناصر التحكم في التفويض لتنفيذ تعديلات غير مصرح بها على مستوى التحكم.

🤖 AI Intelligence Analysis Analyzed: May 13, 2026 00:45

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government energy

🎯 MITRE ATT&CK Techniques

T1548.002 T1078.001 T1087

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.22 or later immediately. Review and audit all recent ACP chat command executions for unauthorized activities. Implement additional access control logging and monitoring for administrative operations. Restrict access to ACP chat interfaces to verified admin users only.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.22 أو أحدث على الفور. راجع وتدقيق جميع عمليات تنفيذ أوامر دردشة ACP الحديثة للأنشطة غير المصرح بها. تنفيذ تسجيل إضافي ومراقبة التحكم في الوصول للعمليات الإدارية. تقييد الوصول إلى واجهات دردشة ACP للمستخدمين المسؤولين المتحققين فقط.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 4

🔗

https://github.com/openclaw/openclaw/commit/229426a257e49694a59fa4e3895861d02a4d767f

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171dac87

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-3w6x-gv34-mqpf

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-missing-authorization-enforcement-in-inte...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-862

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-04-09

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-35631

Introduce Yourself

Sign In Required