Vulnerabilities ›

CVE-2026-42433

Medium

CWE-862 — Weakness Type

                    Published: May 5, 2026                      ·  Modified: May 8, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.4.10 contains an authorization bypass vulnerability allowing operator.write message-tool paths to access Matrix profile persistence requiring admin-level authority. Attackers can exploit insufficient access controls to mutate persistent profile configuration through non-owner message-tool runs.

🤖 AI Executive Summary

OpenClaw versions before 2026.4.10 contain an authorization bypass vulnerability in the operator.write message-tool that allows attackers to access and modify Matrix profile persistence without proper admin-level authorization. The vulnerability exploits insufficient access controls to mutate persistent profile configurations through unauthorized message-tool operations.

📄 Description (Arabic)

تحتوي OpenClaw على ثغرة تجاوز تفويض تسمح بالوصول غير المصرح به إلى استمرارية ملف تعريف Matrix من خلال أداة operator.write message-tool. يمكن للمهاجمين استغلال ضوابط الوصول غير الكافية لتعديل تكوينات الملف الشخصي المستمرة دون امتلاك صلاحيات إدارية. تؤثر الثغرة على الإصدارات السابقة للإصدار 2026.4.10.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.10 تحتوي على ثغرة تجاوز التفويض في أداة operator.write message-tool التي تسمح للمهاجمين بالوصول وتعديل استمرارية ملف تعريف Matrix دون تفويض إداري مناسب. تستغل الثغرة عدم كفاية ضوابط الوصول لتغيير تكوينات الملف الشخصي المستمرة من خلال عمليات message-tool غير المصرح بها.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 12:55

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government banking telecom

🎯 MITRE ATT&CK Techniques

T1548.002 T1078.001 T1098.002

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.4.10 or later immediately. Implement strict access control policies restricting operator.write message-tool access to authorized administrators only. Audit all recent message-tool operations for unauthorized profile modifications. Enable comprehensive logging and monitoring of profile persistence changes. Review and enforce role-based access control (RBAC) configurations.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.4.10 أو أحدث على الفور. طبق سياسات التحكم في الوصول الصارمة التي تقيد الوصول إلى أداة operator.write message-tool للمسؤولين المصرح لهم فقط. قم بتدقيق جميع عمليات message-tool الحديثة للكشف عن تعديلات الملف الشخصي غير المصرح بها. فعّل التسجيل الشامل ومراقبة تغييرات استمرارية الملف الشخصي. راجع وفرض تكوينات التحكم في الوصول القائمة على الأدوار (RBAC).

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/fe0f686c9228fffcec6de4011da45e69a6e23e54

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-7jp6-r74r-995q

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-unauthorized-matrix-profile-config-persis...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-862

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-05

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-862

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-42433

Introduce Yourself

Sign In Required