الثغرات ›

CVE-2026-35652

متوسط

CWE-696 — نوع الضعف

                    نُشر: Apr 10, 2026                      ·  آخر تحديث: Apr 13, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.3.22 contains an authorization bypass vulnerability in interactive callback dispatch that allows non-allowlisted senders to execute action handlers. Attackers can bypass sender authorization checks by dispatching callbacks before normal security validation completes, enabling unauthorized actions.

🤖 ملخص AI

OpenClaw versions before 2026.3.22 contain an authorization bypass vulnerability in interactive callback dispatch that allows non-allowlisted senders to execute action handlers. Attackers can exploit timing issues to bypass sender authorization checks and perform unauthorized actions.

📄 الوصف (العربية)

تسمح هذه الثغرة للمهاجمين بتجاوز فحوصات التفويض من خلال استغلال مشاكل التوقيت في معالجة رد الاتصال التفاعلي. يمكن للمرسلين غير المصرح لهم تنفيذ معالجات الإجراءات المقيدة قبل اكتمال التحقق الأمني العادي.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.22 تحتوي على ثغرة تجاوز التفويض في آلية إرسال رد الاتصال التفاعلي التي تسمح للمرسلين غير المصرح لهم بتنفيذ معالجات الإجراءات. يمكن للمهاجمين استغلال مشاكل التوقيت لتجاوز فحوصات التفويض وتنفيذ إجراءات غير مصرح بها.

🤖 التحليل الذكي آخر تحليل: May 13, 2026 03:54

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1548.002 T1550.001 T1078.001

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.22 or later immediately. Implement strict input validation and sender authentication checks before processing any callbacks. Review and strengthen authorization controls in callback dispatch mechanisms. Monitor for suspicious callback activities and unauthorized action executions.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.22 أو أحدث فوراً. طبق التحقق الصارم من المدخلات والتحقق من هوية المرسل قبل معالجة أي رد اتصال. راجع وقوّ ضوابط التفويض في آليات إرسال رد الاتصال. راقب الأنشطة المريبة وعمليات تنفيذ الإجراءات غير المصرح بها.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 4

🔗

https://github.com/openclaw/openclaw/commit/630f1479c44f78484dfa21bb407cbe6f171dac87

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/commit/a47722de7e3c9cbda8d5512747ca7e3bb8f6ee66

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-8883-9w57-vwv6

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-unauthorized-action-execution-via-callbac...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-696

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-10

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-696

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-35652

عرّفنا بنفسك

تسجيل الدخول مطلوب