الثغرات ›

CVE-2026-32972

مرتفع

CWE-863 — نوع الضعف

                    نُشر: Mar 29, 2026                      ·  آخر تحديث: Apr 5, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.3.11 contains an authorization bypass vulnerability allowing authenticated operators with only operator.write permission to access admin-only browser profile management routes through browser.request. Attackers can create or modify browser profiles and persist attacker-controlled remote CDP endpoints to disk without holding operator.admin privileges.

🤖 ملخص AI

OpenClaw versions before 2026.3.11 contain an authorization bypass vulnerability allowing authenticated operators with limited permissions to access admin-only browser profile management features. Attackers can create or modify browser profiles and persist malicious remote CDP endpoints without requiring admin privileges.

📄 الوصف (العربية)

تسمح هذه الثغرة للمشغلين المصرح لهم بصلاحيات محدودة (operator.write) بتجاوز فحوصات التفويض والوصول إلى مسارات إدارة ملفات المتصفح المقتصرة على المسؤولين. يمكن للمهاجمين استغلال هذا الضعف لإنشاء ملفات تعريف متصفح ضارة وحفظ نقاط نهاية CDP بعيدة خاضعة للسيطرة على القرص. هذا يمكن أن يؤدي إلى تنفيذ كود بعيد وسيطرة غير مصرح بها على بيئة المتصفح.

🤖 ملخص تنفيذي (AI)

OpenClaw قبل الإصدار 2026.3.11 يحتوي على ثغرة تجاوز التفويض تسمح للمشغلين المصرح لهم بصلاحيات محدودة بالوصول إلى ميزات إدارة ملفات المتصفح المقتصرة على المسؤولين. يمكن للمهاجمين إنشاء أو تعديل ملفات تعريف المتصفح والحفاظ على نقاط نهاية CDP بعيدة خاضعة للسيطرة دون الحاجة إلى صلاحيات المسؤول.

🤖 التحليل الذكي آخر تحليل: May 9, 2026 22:18

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom

🎯 تقنيات MITRE ATT&CK

T1548.002 T1078.001 T1548.003

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.11 or later immediately. Implement strict role-based access control (RBAC) enforcement for browser profile management routes. Audit all existing browser profiles and CDP endpoints for unauthorized modifications. Restrict operator.write permissions to non-sensitive operations only. Monitor authentication logs for suspicious profile creation or modification attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.11 أو أحدث فوراً. طبق فرض التحكم في الوصول القائم على الأدوار (RBAC) الصارم لمسارات إدارة ملفات تعريف المتصفح. قم بتدقيق جميع ملفات التعريف الموجودة ونقاط نهاية CDP للتعديلات غير المصرح بها. قيد صلاحيات operator.write للعمليات غير الحساسة فقط. راقب سجلات المصادقة للمحاولات المريبة لإنشاء أو تعديل الملفات الشخصية.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 2

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-vmhq-cqm9-6p7q

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-authorization-bypass-in-browser-profile-m...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-863

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-29

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-863

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-32972

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب