الثغرات ›

CVE-2026-45002

متوسط

CWE-863 — نوع الضعف

                    نُشر: May 11, 2026                      ·  آخر تحديث: May 14, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

OpenClaw before 2026.4.20 contains a hook session-key bypass vulnerability that allows attackers to circumvent the hooks.allowRequestSessionKey opt-in restriction. Attackers can render externally influenced session keys through templated hook mappings to bypass webhook routing isolation controls.

🤖 ملخص AI

OpenClaw before version 2026.4.20 contains a session-key bypass vulnerability in webhook hooks that allows attackers to circumvent access restrictions. Attackers can exploit templated hook mappings to bypass webhook routing isolation controls and render externally influenced session keys.

📄 الوصف (العربية)

تحتوي ثغرة CVE-2026-45002 على عيب في آلية التحقق من مفاتيح الجلسة في خطافات الويب بـ OpenClaw. يمكن للمهاجمين استخدام قوالب معتمدة على المستخدم لتجاوز قيود التوجيه وإدخال مفاتيح جلسة خارجية. هذا يسمح بالوصول غير المصرح به إلى موارد محمية عبر آليات الويب هوك.

🤖 ملخص تنفيذي (AI)

إصدارات OpenClaw السابقة للإصدار 2026.4.20 تحتوي على ثغرة تجاوز مفتاح الجلسة في خطافات الويب تسمح للمهاجمين بتجاوز قيود الوصول. يمكن للمهاجمين استغلال تعيينات الخطافات المعتمدة على القوالب لتجاوز عناصر التحكم في عزل التوجيه.

🤖 التحليل الذكي آخر تحليل: May 30, 2026 03:49

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

banking telecom government

🎯 تقنيات MITRE ATT&CK

T1548 T1550 T1021

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update OpenClaw to version 2026.4.20 or later immediately. Review and audit all webhook configurations and session key policies. Implement strict input validation for hook mappings and disable hooks.allowRequestSessionKey if not required. Monitor webhook logs for suspicious session key usage patterns.

🔧 خطوات المعالجة (العربية)

قم بتحديث OpenClaw إلى الإصدار 2026.4.20 أو أحدث فوراً. راجع وتدقيق جميع تكوينات الويب هوك وسياسات مفاتيح الجلسة. طبق التحقق الصارم من صحة الإدخال لتعيينات الخطافات وعطل hooks.allowRequestSessionKey إذا لم تكن مطلوبة. راقب سجلات الويب هوك للكشف عن أنماط استخدام مفاتيح جلسة مريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 SI-10

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.14.2.1

🔗 المراجع والمصادر 3

🔗

https://github.com/openclaw/openclaw/commit/5275d008ed33203dba3f98e969ad683a65c416c3

disclosure@vulncheck.com

Patch

🔗

https://github.com/openclaw/openclaw/security/advisories/GHSA-2xcp-x87w-q377

disclosure@vulncheck.com

Third Party Advisory

🔗

https://www.vulncheck.com/advisories/openclaw-hook-session-key-bypass-via-template-mapping

disclosure@vulncheck.com

Third Party Advisory Patch

📦 المنتجات المتأثرة 1 منتج

openclaw:openclaw

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-863

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-11

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-863

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-45002

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب