الثغرات ›

CVE-2026-32905

مرتفع

CWE-862 — نوع الضعف

                    نُشر: May 29, 2026                      ·  آخر تحديث: Jun 5, 2026                      ·  المصدر: NVD                

CVSS v3

8.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.5.4 contains an authorization bypass vulnerability in the bundled device-pair plugin that allows non-owner authorized chat senders to issue device-pairing bootstrap codes without proper scope validation. Attackers with chat command access can create setup codes to enroll devices with operator/node capabilities, granting persistent credentials until manual removal.

🤖 ملخص AI

OpenClaw versions before 2026.5.4 contain an authorization bypass vulnerability in the device-pair plugin allowing attackers with chat access to generate device-pairing codes without proper validation. This enables unauthorized device enrollment with operator privileges and persistent credential creation.

📄 الوصف (العربية)

تحتوي نسخ OpenClaw السابقة للإصدار 2026.5.4 على ثغرة تجاوز تفويض في مكون جهاز الاقتران تسمح للمهاجمين الذين لديهم وصول إلى أوامر الدردشة بإنشاء أكواز اقتران الأجهزة دون التحقق المناسب من النطاق. يمكن للمهاجمين إنشاء أكواد إعداد لتسجيل الأجهزة بقدرات المشغل والعقدة، مما يمنحهم بيانات اعتماد دائمة حتى الإزالة اليدوية.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: Jun 3, 2026 12:17

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1078.001 T1098.001 T1547.001

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.5.4 or later immediately. Audit all device-pairing bootstrap codes and revoke unauthorized codes. Restrict chat command access to trusted users only. Implement additional scope validation for device enrollment operations. Monitor device enrollment logs for suspicious activities.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.5.4 أو أحدث فوراً. قم بمراجعة جميع أكواد bootstrap لجهاز الاقتران وإلغاء الأكواد غير المصرح بها. قيد الوصول إلى أوامر الدردشة للمستخدمين الموثوقين فقط. طبق التحقق الإضافي من النطاق لعمليات تسجيل الجهاز. راقب سجلات تسجيل الجهاز للأنشطة المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-5

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 المراجع والمصادر 2

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-xr4f-mjxj-w6w5

disclosure@vulncheck.com

Mitigation Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-unauthorized-device-pairing-bootstrap-cod...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

8.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.3

CWECWE-862

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-29

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-862

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-32905

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب