الثغرات ›

CVE-2026-41394

مرتفع

CWE-862 — نوع الضعف

                    نُشر: Apr 28, 2026                      ·  آخر تحديث: May 5, 2026                      ·  المصدر: NVD                

CVSS v3

8.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.3.31 contains an authentication bypass vulnerability where unauthenticated plugin-auth HTTP routes receive operator runtime write scopes. Attackers can access these routes without authentication to perform privileged runtime actions intended for authorized operators.

🤖 ملخص AI

OpenClaw before version 2026.3.31 contains an authentication bypass vulnerability in plugin-auth HTTP routes that grants unauthenticated attackers operator runtime write scopes. Attackers can exploit this to perform privileged runtime actions without proper authorization.

📄 الوصف (العربية)

تحتوي ثغرة CVE-2026-41394 على عيب في آلية المصادقة حيث تسمح مسارات HTTP معينة في OpenClaw بالوصول غير المصرح إليها. يمكن للمهاجمين الاستفادة من هذا الضعف للوصول إلى وظائف وقت التشغيل المحمية والتي يجب أن تكون مقصورة على المشغلين المصرح لهم فقط.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.3.31 تحتوي على ثغرة تجاوز المصادقة في مسارات HTTP الخاصة بـ plugin-auth التي تمنح المهاجمين غير المصرح لهم نطاقات كتابة وقت التشغيل. يمكن للمهاجمين استغلال هذا لتنفيذ إجراءات وقت تشغيل مميزة دون تفويض مناسب.

🤖 التحليل الذكي آخر تحليل: May 4, 2026 04:19

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government energy telecom banking

🎯 تقنيات MITRE ATT&CK

T1078.001 T1190 T1548

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.3.31 or later immediately. Implement network-level access controls to restrict plugin-auth HTTP routes to authorized users only. Review and audit all access logs for suspicious activity on these routes. Apply principle of least privilege to all operator accounts.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.3.31 أو أحدث فوراً. طبق ضوابط الوصول على مستوى الشبكة لتقييد مسارات plugin-auth HTTP للمستخدمين المصرح لهم فقط. راجع وتدقيق جميع سجلات الوصول للنشاط المريب على هذه المسارات. طبق مبدأ أقل امتياز على جميع حسابات المشغلين.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.2.5

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/2a1db0c0f1fa375004a95ba0ef030534790a6d47

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-mhgq-xpfq-6r66

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-unauthorized-operator-scope-access-in-una...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

8.2

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.2

CWECWE-862

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-04-28

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

patch-available CWE-862

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-41394

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب