OpenClaw before 2026.4.10 contains an insufficient access control vulnerability in Nostr plugin HTTP profile routes that allows operators with write permissions to persist profile configuration without requiring admin authority. Attackers with operator.write scope can modify Nostr profile settings through unprotected mutation endpoints to gain unauthorized configuration persistence.
OpenClaw versions before 2026.4.10 contain an insufficient access control vulnerability in the Nostr plugin that allows operators with write permissions to modify profile configurations without admin authorization. Attackers exploiting this flaw can persist unauthorized changes to Nostr profile settings through unprotected HTTP endpoints.
تحتوي ثغرة CVE-2026-43579 على عيب في التحكم بالوصول في مكون Nostr بـ OpenClaw يسمح للمشغلين الذين لديهم صلاحيات الكتابة بتعديل إعدادات الملف الشخصي دون الحصول على صلاحيات إدارية. يمكن للمهاجمين ذوي نطاق operator.write استخدام نقاط نهاية الطفرات غير المحمية لإدامة تغييرات غير مصرح بها على إعدادات ملف تعريف Nostr.
إصدارات OpenClaw السابقة للإصدار 2026.4.10 تحتوي على ثغرة في التحكم بالوصول غير الكافي في مكون Nostr تسمح للمشغلين بصلاحيات الكتابة بتعديل إعدادات الملف الشخصي دون تفويض إداري. يمكن للمهاجمين استغلال هذا الخلل للتأثير على إعدادات ملف تعريف Nostr من خلال نقاط نهاية HTTP غير محمية.
Update OpenClaw to version 2026.4.10 or later immediately. Implement role-based access control (RBAC) to restrict profile configuration modifications to admin users only. Audit all operator accounts with write permissions and review recent profile configuration changes. Apply principle of least privilege to operator.write scope assignments.
قم بتحديث OpenClaw إلى الإصدار 2026.4.10 أو أحدث فوراً. طبق التحكم بالوصول القائم على الأدوار (RBAC) لتقييد تعديلات إعدادات الملف الشخصي للمستخدمين الإداريين فقط. قم بمراجعة جميع حسابات المشغلين التي تتمتع بصلاحيات الكتابة وراجع تغييرات إعدادات الملف الشخصي الأخيرة. طبق مبدأ أقل امتياز على تعيينات نطاق operator.write.