Vulnerabilities ›

CVE-2026-43528

Medium

CWE-212 — Weakness Type

                    Published: May 5, 2026                      ·  Modified: May 8, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.4.14 contains a redaction bypass vulnerability that allows authenticated gateway clients to receive unredacted secrets through sourceConfig and runtimeConfig alias fields. Attackers with config read access can exploit this to obtain provider API keys, gateway authentication material, and channel credentials that should have been redacted.

🤖 AI Executive Summary

OpenClaw versions before 2026.4.14 contain a redaction bypass vulnerability allowing authenticated clients to access unredacted secrets through alias fields. Attackers with config read access can obtain sensitive API keys and authentication credentials that should be redacted.

📄 Description (Arabic)

تسمح هذه الثغرة للعملاء المصرح لهم بالوصول إلى بيانات سرية من خلال حقول sourceConfig و runtimeConfig البديلة. يمكن للمهاجمين الذين لديهم صلاحيات قراءة التكوين استخراج مفاتيح API للمزودين وبيانات اعتماد بوابة المصادقة وبيانات اعتماد القنوات.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.14 تحتوي على ثغرة تجاوز إخفاء تسمح للعملاء المصرح لهم بالوصول إلى أسرار غير مخفاة عبر حقول الاسم المستعار. يمكن للمهاجمين الذين لديهم حق الوصول لقراءة التكوين الحصول على مفاتيح API الحساسة وبيانات اعتماد المصادقة.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 20:24

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1555 T1552 T1087

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.4.14 or later immediately. Review and audit all user accounts with config read access. Rotate all exposed API keys, provider credentials, and authentication tokens. Implement additional access controls and monitoring for configuration access.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.4.14 أو أحدث فوراً. راجع وتدقيق جميع حسابات المستخدمين التي لديها حق وصول قراءة التكوين. قم بتدوير جميع مفاتيح API المكشوفة وبيانات اعتماد المزود وتوكنات المصادقة. تطبيق ضوابط وصول ومراقبة إضافية لوصول التكوين.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 SC-7

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.10.1.1

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/86734ef93a2f25063371b04f1946eb300548acd4

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-8372-7vhw-cm6q

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-redaction-bypass-via-sourceconfig-and-run...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-212

EPSS0.06%

Exploit No

Patch ✗ No

Published 2026-05-05

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-212

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-43528

Introduce Yourself

Sign In Required