Vulnerabilities ›

CVE-2026-35652

Medium

CWE-696 — Weakness Type

                    Published: Apr 10, 2026                      ·  Modified: Apr 13, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.3.22 contains an authorization bypass vulnerability in interactive callback dispatch that allows non-allowlisted senders to execute action handlers. Attackers can bypass sender authorization checks by dispatching callbacks before normal security validation completes, enabling unauthorized actions.

🤖 AI Executive Summary

OpenClaw versions before 2026.3.22 contain an authorization bypass vulnerability in interactive callback dispatch that allows non-allowlisted senders to execute action handlers. Attackers can exploit timing issues to bypass sender authorization checks and perform unauthorized actions.

📄 Description (Arabic)

تسمح هذه الثغرة للمهاجمين بتجاوز فحوصات التفويض من خلال استغلال مشاكل التوقيت في معالجة رد الاتصال التفاعلي. يمكن للمرسلين غير المصرح لهم تنفيذ معالجات الإجراءات المقيدة قبل اكتمال التحقق الأمني العادي.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.22 تحتوي على ثغرة تجاوز التفويض في آلية إرسال رد الاتصال التفاعلي التي تسمح للمرسلين غير المصرح لهم بتنفيذ معالجات الإجراءات. يمكن للمهاجمين استغلال مشاكل التوقيت لتجاوز فحوصات التفويض وتنفيذ إجراءات غير مصرح بها.

🤖 AI Intelligence Analysis Analyzed: May 13, 2026 03:54

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1548.002 T1550.001 T1078.001

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.22 or later immediately. Implement strict input validation and sender authentication checks before processing any callbacks. Review and strengthen authorization controls in callback dispatch mechanisms. Monitor for suspicious callback activities and unauthorized action executions.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.22 أو أحدث فوراً. طبق التحقق الصارم من المدخلات والتحقق من هوية المرسل قبل معالجة أي رد اتصال. راجع وقوّ ضوابط التفويض في آليات إرسال رد الاتصال. راقب الأنشطة المريبة وعمليات تنفيذ الإجراءات غير المصرح بها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 4

🔗

https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171dac87

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/commit/a47722de7e3c9cbda8d5512747ca7e3bb8f6ee66

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-8883-9w57-vwv6

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-unauthorized-action-execution-via-callbac...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-696

EPSS0.06%

Exploit No

Patch ✗ No

Published 2026-04-10

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-696

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-35652

Introduce Yourself

Sign In Required