Vulnerabilities ›

CVE-2026-41340

Medium

CWE-372 — Weakness Type

                    Published: Apr 23, 2026                      ·  Modified: Apr 26, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.3.31 contains an authentication boundary vulnerability where Telegram legacy allowFrom migration incorrectly fans default-account trust into all named accounts. Attackers can exploit this trust propagation to bypass authentication controls and gain unauthorized access to named accounts.

🤖 AI Executive Summary

OpenClaw before version 2026.3.31 contains an authentication bypass vulnerability in Telegram legacy allowFrom migration that incorrectly propagates default-account trust to all named accounts. Attackers can exploit this trust propagation to bypass authentication controls and gain unauthorized access to multiple accounts.

📄 Description (Arabic)

تحتوي نسخ OpenClaw السابقة للإصدار 2026.3.31 على ثغرة في حدود المصادقة حيث يتم نشر الثقة من الحساب الافتراضي بشكل خاطئ إلى جميع الحسابات المسماة أثناء ترحيل Telegram القديم. يمكن للمهاجمين استخدام هذا الانتشار غير الصحيح للثقة للالتفاف حول عناصر التحكم في المصادقة والوصول غير المصرح به إلى حسابات متعددة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.31 تحتوي على ثغرة تجاوز المصادقة في ترحيل Telegram القديم حيث ينتشر الثقة من الحساب الافتراضي بشكل خاطئ إلى جميع الحسابات المسماة. يمكن للمهاجمين استغلال هذا الانتشار للثقة لتجاوز عناصر التحكم في المصادقة والوصول غير المصرح به إلى حسابات متعددة.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 20:24

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government telecom banking

🎯 MITRE ATT&CK Techniques

T1078 T1556 T1556.004

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.3.31 or later immediately. Review and audit all account trust configurations, particularly those involving Telegram legacy allowFrom settings. Verify that default-account trust has not been inappropriately propagated to named accounts. Implement additional access controls and monitoring for account authentication events.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.3.31 أو أحدث فوراً. راجع وتدقيق جميع إعدادات ثقة الحسابات، خاصة تلك المتعلقة بإعدادات Telegram القديمة allowFrom. تحقق من عدم انتشار ثقة الحساب الافتراضي بشكل غير صحيح إلى الحسابات المسماة. نفذ عناصر تحكم وصول إضافية ومراقبة لأحداث مصادقة الحسابات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 IA-2

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/d8c68c8d4265ea6fa5e8c5e056534c351bddef37

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-f693-58pc-2gfr

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-authentication-boundary-bypass-via-telegr...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-372

EPSS0.08%

Exploit No

Patch ✗ No

Published 2026-04-23

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-372

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41340

Introduce Yourself

Sign In Required