OpenClaw before 2026.3.25 contains an authentication bypass vulnerability in raw card send surface that allows unpaired recipients to mint legacy callback payloads. Attackers can send raw card commands to bypass DM pairing restrictions and reach callback handling without proper authorization.
CVE-2026-35664 is an authentication bypass vulnerability in OpenClaw versions before 2026.3.25 that allows unpaired recipients to send raw card commands and bypass DM pairing restrictions. Attackers can exploit this to reach callback handling mechanisms without proper authorization, potentially compromising system security.
تسمح هذه الثغرة للمهاجمين بتجاوز آليات المصادقة والاقتران في OpenClaw بإرسال أوامر بطاقات خام مباشرة. يمكن للمستقبلين غير المصرح لهم الوصول إلى معالجات رد الاتصال وإنشاء حمولات رد اتصال وراثية دون تفويض مناسب.
CVE-2026-35664 هي ثغرة تجاوز المصادقة في إصدارات OpenClaw السابقة للإصدار 2026.3.25 التي تسمح للمستقبلين غير المقترنين بإرسال أوامر بطاقات خام وتجاوز قيود اقتران DM. يمكن للمهاجمين استغلال هذا للوصول إلى آليات معالجة رد الاتصال بدون تفويض مناسب.
Update OpenClaw to version 2026.3.25 or later immediately. Implement network segmentation to restrict raw card command access, enforce strict DM pairing validation, monitor for unauthorized callback payload generation, and apply input validation on all card command handlers.
قم بتحديث OpenClaw إلى الإصدار 2026.3.25 أو أحدث فوراً. طبق تقسيم الشبكة لتقييد الوصول إلى أوامر البطاقات الخام، وفرض التحقق الصارم من اقتران DM، ومراقبة توليد حمولات رد الاتصال غير المصرح بها، وتطبيق التحقق من صحة الإدخال على جميع معالجات أوامر البطاقات.