الثغرات ›

CVE-2026-41911

متوسط

CWE-22 — نوع الضعف

                    نُشر: Apr 28, 2026                      ·  آخر تحديث: May 1, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.4.8 contains a filesystem policy bypass vulnerability in docx upload processing that allows local file reads outside workspace boundaries. Attackers can exploit upload_file and upload_image endpoints to access files beyond the intended workspace-only filesystem policy.

🤖 ملخص AI

OpenClaw versions before 2026.4.8 contain a path traversal vulnerability in document upload processing that allows attackers to read files outside designated workspace boundaries. The vulnerability affects upload_file and upload_image endpoints, enabling unauthorized local file access through crafted uploads.

📄 الوصف (العربية)

تحتوي نسخ OpenClaw السابقة للإصدار 2026.4.8 على ثغرة اجتياز مسار في معالجة تحميل مستندات DOCX تسمح بقراءة الملفات خارج حدود مساحة العمل المخصصة. يمكن للمهاجمين استغلال نقاط النهاية upload_file و upload_image للوصول إلى ملفات النظام بشكل غير مصرح به من خلال تحميلات مصممة خصيصاً.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 11, 2026 20:24

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking healthcare

🎯 تقنيات MITRE ATT&CK

T1083 T1566.001

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade OpenClaw to version 2026.4.8 or later immediately. Implement strict input validation and path canonicalization for all file upload endpoints. Apply filesystem access controls to restrict uploads to designated workspace directories only. Monitor upload_file and upload_image endpoint activities for suspicious path traversal patterns.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw إلى الإصدار 2026.4.8 أو أحدث فوراً. طبق التحقق الصارم من المدخلات وتطبيع المسارات لجميع نقاط نهاية تحميل الملفات. طبق عناصر تحكم الوصول إلى نظام الملفات لتقييد التحميلات بالمجلدات المخصصة فقط. راقب أنشطة نقاط النهاية upload_file و upload_image للكشف عن أنماط اجتياز المسار المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

CC6.1 CC6.2

🟡 ISO 27001:2022

A.12.4.1 A.13.1.3

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/d7c3210cd6f5fdfdc1beff4c9541673e814354d5

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-5fc7-f62m-8983

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-workspace-only-filesystem-policy-bypass-v...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-22

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-28

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-22

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-41911

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب