Vulnerabilities ›

CVE-2026-41366

Medium

CWE-732 — Weakness Type

                    Published: Apr 28, 2026                      ·  Modified: Apr 30, 2026                      ·  Source: NVD                

CVSS v3

5.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.3.31 contains a local roots self-whitelisting vulnerability in appendLocalMediaParentRoots that allows model-initiated arbitrary host file read. Attackers can exploit improper media parent directory validation to exfiltrate credentials and access sensitive files.

🤖 AI Executive Summary

OpenClaw before version 2026.3.31 contains a local privilege escalation vulnerability allowing model-initiated arbitrary file read through improper media directory validation. Attackers can exploit this to exfiltrate credentials and access sensitive host files.

📄 Description (Arabic)

تحتوي نسخ OpenClaw السابقة للإصدار 2026.3.31 على ثغرة في دالة appendLocalMediaParentRoots تسمح بتجاوز التحقق من صحة مجلدات الوسائط الأب. يمكن للنماذج المبرمجة بشكل ضار أو المخترقة قراءة ملفات عشوائية من النظام بما فيها بيانات الاعتماد والملفات الحساسة.

🤖 ملخص تنفيذي (AI)

OpenClaw قبل الإصدار 2026.3.31 يحتوي على ثغرة في التحقق من صلاحيات الوصول المحلي تسمح بقراءة ملفات عشوائية من النظام. يمكن للمهاجمين استغلال هذه الثغرة للوصول إلى بيانات اعتماد حساسة والملفات المهمة.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 01:27

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government healthcare telecom

🎯 MITRE ATT&CK Techniques

T1552.001 T1083 T1555

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.3.31 or later immediately. Implement strict file access controls and directory whitelisting. Monitor and restrict model access to sensitive directories. Apply principle of least privilege for application service accounts.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.3.31 أو أحدث فوراً. طبق ضوابط صارمة على الوصول للملفات وقائمة بيضاء للمجلدات. راقب وقيد وصول النموذج إلى المجلدات الحساسة. طبق مبدأ الحد الأدنى من الامتيازات لحسابات خدمة التطبيق.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.2

🔵 SAMA CSF

AC-3 AC-6 SI-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/1ca4261d7e055d0be141ed79ebb1365d0fbc7364

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-57gh-m6rq-54cf

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-arbitrary-host-file-read-via-appendlocalm...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

5.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.5

CWECWE-732

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-04-28

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-732

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41366

Introduce Yourself

Sign In Required