الثغرات ›

CVE-2026-33576

متوسط

OpenClaw before 2026.3.28 downloads and stores inbound media from Zalo channels before validating sender authorization. Unauthorized senders can force network fetches and disk writes to the media stor

CWE-863 — نوع الضعف

                    نُشر: Mar 31, 2026                      ·  آخر تحديث: Apr 2, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

OpenClaw versions before 2026.3.28 fail to validate sender authorization before downloading and storing media from Zalo channels, allowing unauthorized users to trigger network requests and disk writes. This vulnerability enables attackers to perform denial-of-service attacks through resource exhaustion and potential disk space depletion.

📄 الوصف (العربية)

تفشل OpenClaw في التحقق من هوية المرسل قبل تحميل الوسائط من قنوات Zalo، مما يسمح للمهاجمين بإرسال رسائل تحتوي على وسائط يتم تحميلها وتخزينها حتى لو تم رفضها لاحقاً. يمكن للمهاجمين استغلال هذا لاستنزاف موارد النظام والتسبب في رفض الخدمة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.28 لا تتحقق من تفويض المرسل قبل تحميل وتخزين الوسائط من قنوات Zalo، مما يسمح للمستخدمين غير المصرح لهم بتشغيل طلبات الشبكة وعمليات الكتابة على القرص. تمكن هذه الثغرة المهاجمين من تنفيذ هجمات الحرمان من الخدمة من خلال استنزاف الموارد واستنزاف مساحة القرص المحتملة.

🤖 التحليل الذكي آخر تحليل: May 12, 2026 08:18

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

telecom government

🎯 تقنيات MITRE ATT&CK

T1190 T1499 T1565

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.28 or later immediately. Implement sender authorization validation before processing any media downloads. Monitor disk usage and network traffic for anomalies. Deploy rate limiting on media download requests from Zalo channels.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.28 أو أحدث على الفور. تنفيذ التحقق من تفويض المرسل قبل معالجة أي تنزيلات وسائط. مراقبة استخدام القرص وحركة مرور الشبكة للكشف عن الحالات الشاذة. نشر تحديد معدل على طلبات تحميل الوسائط من قنوات Zalo.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 A.5.2.1

🔵 SAMA CSF

ID.RA-1 PR.AC-1

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.12.6.1

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/68ceaf7a5f64a23e78b95eff055e4b497218312a

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-v2v2-f783-358j

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-unauthorized-media-download-via-zalo-channel

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-863

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-03-31

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

patch-available CWE-863

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-33576

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب