الثغرات ›

CVE-2026-42429

مرتفع

CWE-863 — نوع الضعف

                    نُشر: Apr 28, 2026                      ·  آخر تحديث: May 5, 2026                      ·  المصدر: NVD                

CVSS v3

7.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.4.8 contains a privilege escalation vulnerability in the gateway plugin HTTP authentication mechanism that widens identity-bearing operator.read requests into runtime operator.write permissions. Attackers can exploit this by sending read-scoped requests through the gateway auth route to gain unauthorized write access to runtime operations.

🤖 ملخص AI

OpenClaw versions before 2026.4.8 contain a privilege escalation vulnerability in the gateway plugin HTTP authentication mechanism that allows attackers to escalate read permissions to write permissions. Exploitation enables unauthorized modification of runtime operations through specially crafted requests to the gateway auth route.

📄 الوصف (العربية)

تحتوي ثغرة تصعيد الامتيازات في آلية مصادقة HTTP بمكون بوابة OpenClaw على عيب يسمح للمهاجمين بتحويل طلبات محدودة النطاق (قراءة) إلى صلاحيات كتابة كاملة. يمكن استغلال هذا الضعف بإرسال طلبات مصادقة مزيفة عبر مسار البوابة للحصول على وصول غير مصرح به لتعديل عمليات وقت التشغيل.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.8 تحتوي على ثغرة تصعيد امتيازات في آلية المصادقة HTTP لمكون البوابة. يمكن للمهاجمين استغلال هذه الثغرة للحصول على صلاحيات كتابة غير مصرح بها على عمليات وقت التشغيل.

🤖 التحليل الذكي آخر تحليل: May 9, 2026 07:12

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government energy

🎯 تقنيات MITRE ATT&CK

T1548.002 T1548 T1078.001

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade OpenClaw to version 2026.4.8 or later. Implement network segmentation to restrict access to gateway authentication routes. Apply principle of least privilege for operator accounts. Monitor and audit all authentication requests and permission changes. Disable unnecessary gateway plugins if not required for operations.

🔧 خطوات المعالجة (العربية)

قم بترقية OpenClaw فوراً إلى الإصدار 2026.4.8 أو أحدث. طبق تقسيم الشبكة لتقييد الوصول إلى مسارات مصادقة البوابة. طبق مبدأ أقل امتياز لحسابات المشغلين. راقب وتدقيق جميع طلبات المصادقة وتغييرات الأذونات. عطل مكونات البوابة غير الضرورية إن لم تكن مطلوبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.9.2.1 A.9.4.3

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.9.2.5

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/d7c3210cd6f5fdfdc1beff4c9541673e814354d5

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-4f8g-77mw-3rxc

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-privilege-escalation-via-gateway-plugin-h...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

7.1

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.1

CWECWE-863

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-04-28

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

patch-available CWE-863

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-42429

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب