Vulnerabilities ›

CVE-2026-43577

Medium

CWE-862 — Weakness Type

                    Published: May 6, 2026                      ·  Modified: May 9, 2026                      ·  Source: NVD                

CVSS v3

6.5

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.4.9 contains a file read vulnerability allowing attackers to bypass navigation guards through browser act/evaluate interactions. Attackers can pivot into the local CDP origin and create or read disallowed file:// pages despite direct navigation policy restrictions.

🤖 AI Executive Summary

OpenClaw versions before 2026.4.9 contain a file read vulnerability that allows attackers to bypass navigation guards through browser interactions. Attackers can access local files and create unauthorized file:// pages despite existing policy restrictions.

📄 Description (Arabic)

تسمح هذه الثغرة للمهاجمين بتجاوز آليات الحماية المصممة لمنع الوصول إلى الملفات المحلية. يمكن استغلال تفاعلات المتصفح والتقييم للوصول إلى ملفات حساسة وإنشاء صفحات غير مصرح بها.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.9 تحتوي على ثغرة قراءة ملفات تسمح للمهاجمين بتجاوز حماية التنقل. يمكن للمهاجمين الوصول إلى الملفات المحلية وإنشاء صفحات file:// غير مصرح بها رغم قيود السياسة.

🤖 AI Intelligence Analysis Analyzed: May 11, 2026 09:18

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

government telecom banking

🎯 MITRE ATT&CK Techniques

T1083 T1190 T1566

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.4.9 or later immediately. Implement strict Content Security Policy (CSP) headers, disable local file access in browser contexts, enforce proper authentication controls, and monitor for suspicious file:// protocol access attempts.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.4.9 أو أحدث فوراً. طبق سياسات أمان المحتوى الصارمة، عطّل الوصول إلى الملفات المحلية في سياقات المتصفح، فرض عناصر تحكم المصادقة الصحيحة، ومراقبة محاولات الوصول المريبة لبروتوكول file://.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

AC-3 AC-6 SI-4

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.13.1.1

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/5f5b3d733bdd791cb457f838514179e1288b10b3

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-qmwg-qprg-3j38

disclosure@vulncheck.com

Mitigation Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-arbitrary-file-read-via-browser-interacti...

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

6.5

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.5

CWECWE-862

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-06

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-862

🏢 Vendor Advisories

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-43577

Introduce Yourself

Sign In Required