الثغرات ›

CVE-2026-35657

متوسط

CWE-863 — نوع الضعف

                    نُشر: Apr 10, 2026                      ·  آخر تحديث: Apr 13, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.3.25 contains an authorization bypass vulnerability in the HTTP /sessions/:sessionKey/history route that skips operator.read scope validation. Attackers can access session history without proper operator read permissions by sending HTTP requests to the vulnerable endpoint.

🤖 ملخص AI

OpenClaw versions before 2026.3.25 contain an authorization bypass vulnerability in the /sessions/:sessionKey/history route that fails to validate operator.read scope permissions. Attackers can access sensitive session history data without proper authorization by directly requesting the vulnerable endpoint.

📄 الوصف (العربية)

تحتوي ثغرة CWE-863 على فشل في التحقق من التفويض في مسار معين من OpenClaw يسمح بالوصول إلى بيانات سجل الجلسة الحساسة. يمكن للمهاجمين استغلال هذه الثغرة بسهولة عن طريق إرسال طلبات HTTP مباشرة دون الحاجة إلى بيانات اعتماد صحيحة.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.25 تحتوي على ثغرة تجاوز التفويض في مسار /sessions/:sessionKey/history الذي يفشل في التحقق من صلاحيات نطاق operator.read. يمكن للمهاجمين الوصول إلى بيانات سجل الجلسة الحساسة دون تفويض مناسب عن طريق طلب المسار الضعيف مباشرة.

🤖 التحليل الذكي آخر تحليل: May 13, 2026 07:15

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking government telecom

🎯 تقنيات MITRE ATT&CK

T1548.002 T1087 T1526

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.3.25 or later immediately. Implement network-level access controls to restrict access to the /sessions/:sessionKey/history endpoint. Review access logs for unauthorized session history access attempts. Implement proper scope validation at the API gateway level as a defense-in-depth measure.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.3.25 أو أحدث على الفور. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية /sessions/:sessionKey/history. راجع سجلات الوصول لمحاولات الوصول غير المصرح بها إلى سجل الجلسة. طبق التحقق من النطاق المناسب على مستوى بوابة API كإجراء دفاعي متعدد الطبقات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-3 AC-4

🟡 ISO 27001:2022

A.9.1.1 A.9.4.1

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/1c45123231516fa50f8cf8522ba5ff2fb2ca7aea

disclosure@vulncheck.com

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-5jvj-hxmh-6h6j

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/openclaw-authorization-bypass-in-http-session-hist...

disclosure@vulncheck.com

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-863

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-10

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-863

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-35657

عرّفنا بنفسك

تسجيل الدخول مطلوب