Vulnerabilities ›

CVE-2026-42438

High

CWE-863 — Weakness Type

                    Published: May 5, 2026                      ·  Modified: May 12, 2026                      ·  Source: NVD                

CVSS v3

7.7

🔗 NVD Official

📄 Description (English)

OpenClaw versions 2026.4.9 before 2026.4.10 contain a sender policy bypass vulnerability in the outbound host-media attachment read helper that allows unauthorized local file disclosure. Attackers with denied read access via toolsBySender or group policy can trigger host-media attachment loading to bypass sender and group-scoped authorization boundaries and retrieve readable local files through the outbound media path.

🤖 AI Executive Summary

OpenClaw versions before 2026.4.10 contain a sender policy bypass vulnerability allowing unauthorized local file disclosure through host-media attachment loading. Attackers with denied read access can bypass authorization boundaries to retrieve sensitive local files via the outbound media path.

📄 Description (Arabic)

تؤثر هذه الثغرة على OpenClaw 2026.4.9 وتسمح للمهاجمين المحليين بتجاوز ضوابط التفويض المستندة إلى المرسل والمجموعة. يمكن استخدام مساعد قراءة المرفقات لتحميل ملفات محلية حساسة دون الحصول على الأذونات المناسبة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.10 تحتوي على ثغرة تجاوز سياسة المرسل تسمح بالكشف غير المصرح به عن الملفات المحلية. يمكن للمهاجمين الذين تم رفض وصولهم تجاوز حدود التفويض لاسترجاع الملفات المحلية الحساسة عبر مسار الوسائط الصادرة.

🤖 AI Intelligence Analysis Analyzed: May 9, 2026 14:23

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government banking healthcare

🎯 MITRE ATT&CK Techniques

T1078 T1552 T1083

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.4.10 or later immediately. Review and audit access logs for unauthorized file access attempts. Implement network segmentation to restrict local file system access from application processes. Verify sender and group policy configurations are properly enforced.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.4.10 أو أحدث فوراً. راجع وتدقيق سجلات الوصول للكشف عن محاولات الوصول غير المصرح به للملفات. طبق تقسيم الشبكة لتقييد وصول نظام الملفات المحلي من عمليات التطبيق. تحقق من أن تكوينات سياسة المرسل والمجموعة مطبقة بشكل صحيح.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.9.2.1 A.9.2.5

🔵 SAMA CSF

AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/c949af9fabf3873b5b7c484090cb5f5ab6049a98

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-jhpv-5j76-m56h

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-sender-policy-bypass-in-host-media-attach...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw:2026.4.9

📊 CVSS Score

7.7

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.7

CWECWE-863

EPSS0.03%

Exploit No

Patch ✓ Yes

Published 2026-05-05

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

patch-available CWE-863

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-42438

💬 Comments

Introduce Yourself

Sign In Required