الثغرات ›

CVE-2026-42424

متوسط

CWE-73 — نوع الضعف

                    نُشر: Apr 28, 2026                      ·  آخر تحديث: May 1, 2026                      ·  المصدر: NVD                

CVSS v3

5.7

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.4.8 treats shared reply MEDIA paths as trusted, allowing crafted references to trigger cross-channel local file exfiltration. Attackers can exploit this by crafting malicious shared reply MEDIA references to cause another channel to read local file paths as trusted generated media.

🤖 ملخص AI

OpenClaw versions before 2026.4.8 improperly trust shared reply MEDIA paths, enabling attackers to craft malicious references that trigger cross-channel local file exfiltration. This vulnerability allows unauthorized reading of local files by exploiting trusted media handling mechanisms across communication channels.

📄 الوصف (العربية)

تحتوي ثغرة CVE-2026-42424 على معالجة غير آمنة لمسارات الوسائط في الردود المشتركة بـ OpenClaw، حيث يتم الثقة بالمراجع دون التحقق المناسب. يمكن للمهاجمين استغلال هذا الضعف لقراءة الملفات المحلية الحساسة من خلال صياغة مراجع وسائط ضارة. التأثير يشمل تسرب البيانات المحلية والوصول غير المصرح به إلى المعلومات السرية.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.8 تثق بشكل غير صحيح في مسارات MEDIA للردود المشتركة، مما يمكّن المهاجمين من صياغة مراجع ضارة تؤدي إلى تسرب الملفات المحلية عبر القنوات. تسمح هذه الثغرة بقراءة الملفات المحلية غير المصرح بها من خلال استغلال آليات معالجة الوسائط الموثوقة عبر قنوات الاتصال.

🤖 التحليل الذكي آخر تحليل: May 24, 2026 19:54

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom banking

🎯 تقنيات MITRE ATT&CK

T1005 T1041 T1020

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.4.8 or later immediately. Implement input validation and sanitization for all MEDIA path references in shared replies. Deploy network segmentation to restrict cross-channel file access. Monitor and log all media file access attempts. Conduct security audit of existing shared reply configurations.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.4.8 أو أحدث على الفور. تطبيق التحقق من صحة المدخلات وتنظيف جميع مراجع مسارات MEDIA في الردود المشتركة. نشر تقسيم الشبكة لتقييد الوصول إلى الملفات عبر القنوات. مراقبة وتسجيل جميع محاولات الوصول إلى ملفات الوسائط. إجراء تدقيق أمني لتكوينات الردود المشتركة الموجودة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.13.1.3

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/d7c3210cd6f5fdfdc1beff4c9541673e814354d5

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-qqq7-4hxc-x63c

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-local-file-exfiltration-via-shared-reply-...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

5.7

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.7

CWECWE-73

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-28

المصدر nvd

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-73

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-42424

عرّفنا بنفسك

تسجيل الدخول مطلوب