الثغرات ›

CVE-2026-42433

متوسط

CWE-862 — نوع الضعف

                    نُشر: May 5, 2026                      ·  آخر تحديث: May 8, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.4.10 contains an authorization bypass vulnerability allowing operator.write message-tool paths to access Matrix profile persistence requiring admin-level authority. Attackers can exploit insufficient access controls to mutate persistent profile configuration through non-owner message-tool runs.

🤖 ملخص AI

OpenClaw versions before 2026.4.10 contain an authorization bypass vulnerability in the operator.write message-tool that allows attackers to access and modify Matrix profile persistence without proper admin-level authorization. The vulnerability exploits insufficient access controls to mutate persistent profile configurations through unauthorized message-tool operations.

📄 الوصف (العربية)

تحتوي OpenClaw على ثغرة تجاوز تفويض تسمح بالوصول غير المصرح به إلى استمرارية ملف تعريف Matrix من خلال أداة operator.write message-tool. يمكن للمهاجمين استغلال ضوابط الوصول غير الكافية لتعديل تكوينات الملف الشخصي المستمرة دون امتلاك صلاحيات إدارية. تؤثر الثغرة على الإصدارات السابقة للإصدار 2026.4.10.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.10 تحتوي على ثغرة تجاوز التفويض في أداة operator.write message-tool التي تسمح للمهاجمين بالوصول وتعديل استمرارية ملف تعريف Matrix دون تفويض إداري مناسب. تستغل الثغرة عدم كفاية ضوابط الوصول لتغيير تكوينات الملف الشخصي المستمرة من خلال عمليات message-tool غير المصرح بها.

🤖 التحليل الذكي آخر تحليل: May 11, 2026 12:55

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government banking telecom

🎯 تقنيات MITRE ATT&CK

T1548.002 T1078.001 T1098.002

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.4.10 or later immediately. Implement strict access control policies restricting operator.write message-tool access to authorized administrators only. Audit all recent message-tool operations for unauthorized profile modifications. Enable comprehensive logging and monitoring of profile persistence changes. Review and enforce role-based access control (RBAC) configurations.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.4.10 أو أحدث على الفور. طبق سياسات التحكم في الوصول الصارمة التي تقيد الوصول إلى أداة operator.write message-tool للمسؤولين المصرح لهم فقط. قم بتدقيق جميع عمليات message-tool الحديثة للكشف عن تعديلات الملف الشخصي غير المصرح بها. فعّل التسجيل الشامل ومراقبة تغييرات استمرارية الملف الشخصي. راجع وفرض تكوينات التحكم في الوصول القائمة على الأدوار (RBAC).

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/fe0f686c9228fffcec6de4011da45e69a6e23e54

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-7jp6-r74r-995q

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-unauthorized-matrix-profile-config-persis...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-862

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-05

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-862

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-42433

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب