CVE-2026-35664

EPSS 0.05%
Veröffentlicht 10.04.2026 16:03:24
Zuletzt bearbeitet 13.04.2026 20:39:15
Quelle disclosure@vulncheck.com
CVE-Watchlists
Login
Unerledigt
Login

OpenClaw before 2026.3.25 contains an authentication bypass vulnerability in raw card send surface that allows unpaired recipients to mint legacy callback payloads. Attackers can send raw card commands to bypass DM pairing restrictions and reach callback handling without proper authorization.

Betroffene Produkte Warnungen 0 Metriken 3 CWE 1 Referenzen 6

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

OpenClaw ≫ OpenClaw SwPlatformnode.js Version < 2026.3.25

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.05%	0.163

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
disclosure@vulncheck.com	5.3	3.9	1.4	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
disclosure@vulncheck.com	6.9	0	0	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-288 Authentication Bypass Using an Alternate Path or Channel

The product requires authentication, but the product has an alternate path or channel that does not require authentication.

https://github.com/openclaw/openclaw/security/advisories/GHSA-77w2-crqv-cmv3

Vendor Advisory

https://github.com/openclaw/openclaw/commit/81c45976db532324b5a0918a70decc19520dc354

Patch

https://www.vulncheck.com/advisories/openclaw-dm-pairing-bypass-via-legacy-card-callbacks

Third Party Advisory

https://nvd.nist.gov/vuln/detail/CVE-2026-35664

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2026-35664

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2026-35664

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2026-35664