الثغرات ›

CVE-2026-41376

متوسط

CWE-346 — نوع الضعف

                    نُشر: Apr 28, 2026                      ·  آخر تحديث: May 1, 2026                      ·  المصدر: NVD                

CVSS v3

5.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.3.31 contains an allowlist bypass vulnerability in Matrix thread root and reply context handling that fails to properly validate message senders. Attackers can fetch thread-root and reply context messages that should be filtered by sender allowlists, bypassing access controls.

🤖 ملخص AI

OpenClaw versions before 2026.3.31 contain an allowlist bypass vulnerability in Matrix thread handling that fails to validate message senders properly. Attackers can access filtered thread messages that should be restricted by sender allowlists, compromising access control mechanisms.

📄 الوصف (العربية)

تفشل ثغرة التحقق من المرسلين في OpenClaw في التحقق من هوية مرسلي الرسائل عند جلب سياق جذر الخيط والرد في Matrix. يمكن للمهاجمين استغلال هذا الضعف للوصول إلى رسائل يجب أن تكون مقيدة بقوائم المرسلين المسموح بهم. يؤثر هذا على سرية البيانات والامتثال لسياسات التحكم في الوصول.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.31 تحتوي على ثغرة تجاوز قائمة المسموح بها في معالجة خيوط Matrix التي تفشل في التحقق من المرسلين بشكل صحيح. يمكن للمهاجمين الوصول إلى رسائل الخيوط المفلترة التي يجب تقييدها بقوائم المرسلين المسموح بهم.

🤖 التحليل الذكي آخر تحليل: May 28, 2026 06:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom banking

🎯 تقنيات MITRE ATT&CK

T1078 T1087 T1020

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.3.31 or later immediately. Implement network segmentation to restrict access to OpenClaw instances. Review and audit all Matrix thread access logs for unauthorized message retrieval. Enforce strict sender validation policies and monitor for suspicious thread context requests.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.3.31 أو أحدث فوراً. طبق تقسيم الشبكة لتقييد الوصول إلى مثيلات OpenClaw. راجع وتدقيق جميع سجلات الوصول إلى خيوط Matrix للكشف عن استرجاع الرسائل غير المصرح به. فرض سياسات التحقق من المرسلين الصارمة ومراقبة طلبات سياق الخيوط المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-2 AC-3

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/8a563d603b70ef6338915f0527bee87282c3bad5

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-rg8m-3943-vm6q

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-matrix-thread-context-allowlist-bypass-vi...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

5.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.4

CWECWE-346

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-28

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-346

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-41376

عرّفنا بنفسك

تسجيل الدخول مطلوب