Vulnerabilities ›

CVE-2026-41375

Medium

CWE-863 — Weakness Type

                    Published: Apr 28, 2026                      ·  Modified: May 1, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.3.28 contains an authorization bypass vulnerability in the /phone arm and /phone disarm endpoints that fails to properly enforce operator.admin scope checks for external channels. Attackers can bypass authentication restrictions to arm or disarm phone channels without proper administrative privileges.

🤖 AI Executive Summary

OpenClaw before version 2026.3.28 contains an authorization bypass vulnerability in phone arm/disarm endpoints that fails to enforce proper scope checks. Attackers can bypass authentication to control phone channels without administrative privileges.

📄 Description (Arabic)

تفشل ثغرة التفويض في OpenClaw في فرض فحوصات نطاق operator.admin بشكل صحيح على نقاط نهاية تفعيل وتعطيل الهاتف للقنوات الخارجية. يمكن للمهاجمين استغلال هذا الضعف للتحكم غير المصرح به بقنوات الاتصال الهاتفي. هذا قد يؤدي إلى تعطيل الخدمات الاتصالية الحرجة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.28 تحتوي على ثغرة تجاوز التفويض في نقاط نهاية تفعيل/تعطيل الهاتف. يمكن للمهاجمين تجاوز المصادقة للتحكم في قنوات الهاتف بدون صلاحيات إدارية.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 12:55

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom government banking

🎯 MITRE ATT&CK Techniques

T1548.002 T1078.001 T1548

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.28 or later immediately. Implement strict scope validation for operator.admin privileges on all phone arm/disarm endpoints. Apply network segmentation to restrict access to these endpoints. Monitor and audit all phone channel control activities.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.28 أو أحدث فوراً. طبق التحقق الصارم من نطاق صلاحيات operator.admin على جميع نقاط النهاية. طبق تقسيم الشبكة لتقييد الوصول. راقب جميع أنشطة التحكم بقنوات الهاتف.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/aa66ae1fc797d3298cc409ed2c5da69a89950a45

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-h2v7-xc88-xx8c

disclosure@vulncheck.com

Patch Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-authorization-bypass-in-phone-arm-and-pho...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-863

EPSS0.06%

Exploit No

Patch ✗ No

Published 2026-04-28

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-863

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41375

Introduce Yourself

Sign In Required