الثغرات ›

CVE-2026-35622

متوسط

CWE-290 — نوع الضعف

                    نُشر: Apr 9, 2026                      ·  آخر تحديث: Apr 12, 2026                      ·  المصدر: NVD                

CVSS v3

5.9

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.3.22 contains an improper authentication verification vulnerability in Google Chat app-url webhook handling that accepts add-on principals outside intended deployment bindings. Attackers can bypass webhook authentication by providing non-deployment add-on principals to execute unauthorized actions through the Google Chat integration.

🤖 ملخص AI

OpenClaw versions before 2026.3.22 contain an improper authentication verification vulnerability in Google Chat webhook handling that allows attackers to bypass authentication using non-deployment add-on principals. This vulnerability enables unauthorized execution of actions through the Google Chat integration without proper credential validation.

📄 الوصف (العربية)

تحتوي ثغرة CWE-290 على فشل في التحقق من المصادقة حيث يقبل نظام OpenClaw مبادئ إضافية من Google Chat خارج نطاق النشر المقصود. يسمح هذا الفشل للمهاجمين بتجاوز آليات المصادقة وتنفيذ إجراءات غير مصرح بها من خلال تكامل Google Chat.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.22 تحتوي على ثغرة في التحقق من المصادقة بشكل غير صحيح في معالجة webhook لتطبيق Google Chat. يمكن للمهاجمين تجاوز المصادقة باستخدام مبادئ إضافية خارج نطاق النشر المقصود لتنفيذ إجراءات غير مصرح بها.

🤖 التحليل الذكي آخر تحليل: May 24, 2026 16:32

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1078.004 T1550.001 T1199

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.22 or later immediately. Implement strict webhook principal validation to ensure only authorized deployment add-on principals are accepted. Review and audit all Google Chat webhook integrations for unauthorized access. Implement additional network-level controls and IP whitelisting for webhook endpoints. Monitor webhook logs for suspicious authentication attempts.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.22 أو أحدث فوراً. طبق التحقق الصارم من مبادئ webhook للتأكد من قبول مبادئ الإضافات المصرح بها فقط. راجع وتدقيق جميع تكاملات Google Chat webhook للكشف عن الوصول غير المصرح به. طبق عناصر تحكم إضافية على مستوى الشبكة وقائمة بيضاء IP لنقاط نهاية webhook. راقب سجلات webhook للكشف عن محاولات مصادقة مريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171dac87

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/commit/a47722de7e3c9cbda8d5512747ca7e3bb8f6ee66

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-mp66-rf4f-mhh8

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-improper-authentication-verification-in-g...

disclosure@vulncheck.com

📊 CVSS Score

5.9

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.9

CWECWE-290

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-09

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-290

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-35622

عرّفنا بنفسك

تسجيل الدخول مطلوب