الثغرات ›

CVE-2026-43533

مرتفع

CWE-23 — نوع الضعف

                    نُشر: May 5, 2026                      ·  آخر تحديث: May 12, 2026                      ·  المصدر: NVD                

CVSS v3

8.6

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.4.10 contains an arbitrary file read vulnerability in QQBot media tags that allows attackers to reference host-local paths outside the intended media storage boundary. Attackers can craft malicious reply text containing media tags to disclose arbitrary local files through outbound media handling.

🤖 ملخص AI

OpenClaw before version 2026.4.10 contains an arbitrary file read vulnerability in QQBot media tags that allows attackers to reference files outside the intended storage boundary. Attackers can craft malicious media tags to disclose sensitive local files through outbound media handling mechanisms.

📄 الوصف (العربية)

تؤثر هذه الثغرة على OpenClaw قبل الإصدار 2026.4.10 وتسمح بقراءة ملفات تعسفية من خلال معالجة وسوم وسائط QQBot. يمكن للمهاجمين استخدام مسارات نسبية أو مطلقة للوصول إلى ملفات حساسة خارج مجلد التخزين المقصود. قد يؤدي هذا إلى الكشف عن بيانات حساسة مثل ملفات التكوين وبيانات المستخدمين.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.10 تحتوي على ثغرة قراءة ملفات تعسفية في وسوم وسائط QQBot تسمح للمهاجمين بالوصول إلى الملفات خارج حدود التخزين المقصودة. يمكن للمهاجمين صياغة وسوم وسائط ضارة للكشف عن الملفات المحلية الحساسة.

🤖 التحليل الذكي آخر تحليل: May 9, 2026 14:22

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

telecom government banking

🎯 تقنيات MITRE ATT&CK

T1083 T1005 T1552

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.4.10 or later immediately. Implement input validation and sanitization for all media tag parameters. Restrict file access permissions to designated media directories only. Monitor and log all file access attempts. Disable QQBot media tag functionality if not required.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.4.10 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات وسوم الوسائط. قيد أذونات الوصول إلى الملفات للمجلدات المخصصة فقط. راقب وسجل جميع محاولات الوصول إلى الملفات. عطل وظيفة وسوم وسائط QQBot إذا لم تكن مطلوبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.4.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-3

🟡 ISO 27001:2022

A.6.1.1 A.9.1.1 A.9.2.1 A.12.4.1

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/604777e4414cc3b2ff8861f18f4fb04374c702c6

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-66r7-m7xm-v49h

disclosure@vulncheck.com

Vendor Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-arbitrary-local-file-read-via-qqbot-media...

disclosure@vulncheck.com

Third Party Advisory

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

8.6

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.6

CWECWE-23

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-05-05

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

patch-available CWE-23

🏢 توجيهات البائع

🔗 https://github.com/openclaw/openclaw/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-43533

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب