Vulnerabilities ›

CVE-2026-45002

Medium

CWE-863 — Weakness Type

                    Published: May 11, 2026                      ·  Modified: May 14, 2026                      ·  Source: NVD                

CVSS v3

5.3

🔗 NVD Official

📄 Description (English)

OpenClaw before 2026.4.20 contains a hook session-key bypass vulnerability that allows attackers to circumvent the hooks.allowRequestSessionKey opt-in restriction. Attackers can render externally influenced session keys through templated hook mappings to bypass webhook routing isolation controls.

🤖 AI Executive Summary

OpenClaw before version 2026.4.20 contains a session-key bypass vulnerability in webhook hooks that allows attackers to circumvent access restrictions. Attackers can exploit templated hook mappings to bypass webhook routing isolation controls and render externally influenced session keys.

📄 Description (Arabic)

تحتوي ثغرة CVE-2026-45002 على عيب في آلية التحقق من مفاتيح الجلسة في خطافات الويب بـ OpenClaw. يمكن للمهاجمين استخدام قوالب معتمدة على المستخدم لتجاوز قيود التوجيه وإدخال مفاتيح جلسة خارجية. هذا يسمح بالوصول غير المصرح به إلى موارد محمية عبر آليات الويب هوك.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.20 تحتوي على ثغرة تجاوز مفتاح الجلسة في خطافات الويب تسمح للمهاجمين بتجاوز قيود الوصول. يمكن للمهاجمين استغلال تعيينات الخطافات المعتمدة على القوالب لتجاوز عناصر التحكم في عزل التوجيه.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 03:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

banking telecom government

🎯 MITRE ATT&CK Techniques

T1548 T1550 T1021

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.4.20 or later immediately. Review and audit all webhook configurations and session key policies. Implement strict input validation for hook mappings and disable hooks.allowRequestSessionKey if not required. Monitor webhook logs for suspicious session key usage patterns.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.4.20 أو أحدث فوراً. راجع وتدقيق جميع تكوينات الويب هوك وسياسات مفاتيح الجلسة. طبق التحقق الصارم من صحة الإدخال لتعيينات الخطافات وعطل hooks.allowRequestSessionKey إذا لم تكن مطلوبة. راقب سجلات الويب هوك للكشف عن أنماط استخدام مفاتيح جلسة مريبة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.14.2.1

🔗 References & Sources 3

🔗

https://github.com/openclaw/openclaw/commit/5275d008ed33203dba3f98e969ad683a65c416c3

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-2xcp-x87w-q377

disclosure@vulncheck.com

Third Party Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-hook-session-key-bypass-via-template-mapping

disclosure@vulncheck.com

Third Party Advisory Patch

📦 Affected Products / CPE 1 entries

openclaw:openclaw

📊 CVSS Score

5.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.3

CWECWE-863

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-11

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-863

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-45002

Introduce Yourself

Sign In Required