Vulnerabilities ›

CVE-2026-43533

High

CWE-23 — Weakness Type

                    Published: May 5, 2026                      ·  Modified: May 12, 2026                      ·  Source: NVD                

CVSS v3

8.6

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.4.10 contains an arbitrary file read vulnerability in QQBot media tags that allows attackers to reference host-local paths outside the intended media storage boundary. Attackers can craft malicious reply text containing media tags to disclose arbitrary local files through outbound media handling.

🤖 AI Executive Summary

OpenClaw before version 2026.4.10 contains an arbitrary file read vulnerability in QQBot media tags that allows attackers to reference files outside the intended storage boundary. Attackers can craft malicious media tags to disclose sensitive local files through outbound media handling mechanisms.

📄 Description (Arabic)

تؤثر هذه الثغرة على OpenClaw قبل الإصدار 2026.4.10 وتسمح بقراءة ملفات تعسفية من خلال معالجة وسوم وسائط QQBot. يمكن للمهاجمين استخدام مسارات نسبية أو مطلقة للوصول إلى ملفات حساسة خارج مجلد التخزين المقصود. قد يؤدي هذا إلى الكشف عن بيانات حساسة مثل ملفات التكوين وبيانات المستخدمين.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.10 تحتوي على ثغرة قراءة ملفات تعسفية في وسوم وسائط QQBot تسمح للمهاجمين بالوصول إلى الملفات خارج حدود التخزين المقصودة. يمكن للمهاجمين صياغة وسوم وسائط ضارة للكشف عن الملفات المحلية الحساسة.

🤖 AI Intelligence Analysis Analyzed: May 9, 2026 14:22

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

telecom government banking

🎯 MITRE ATT&CK Techniques

T1083 T1005 T1552

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.4.10 or later immediately. Implement input validation and sanitization for all media tag parameters. Restrict file access permissions to designated media directories only. Monitor and log all file access attempts. Disable QQBot media tag functionality if not required.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.4.10 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات وسوم الوسائط. قيد أذونات الوصول إلى الملفات للمجلدات المخصصة فقط. راقب وسجل جميع محاولات الوصول إلى الملفات. عطل وظيفة وسوم وسائط QQBot إذا لم تكن مطلوبة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.4.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.9.2.1 A.12.4.1

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/604777e4414cc3b2ff8861f18f4fb04374c702c6

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-66r7-m7xm-v49h

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-arbitrary-local-file-read-via-qqbot-media...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

8.6

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score8.6

CWECWE-23

EPSS0.06%

Exploit No

Patch ✓ Yes

Published 2026-05-05

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

patch-available CWE-23

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-43533

💬 Comments

Introduce Yourself

Sign In Required