Space08

**Name of the Vulnerable Software and Affected Versions** OpenClaw versions prior to 2026.3.13 **Description** The software contains an information disclosure issue within the `fetchRemoteMedia` function. This can lead to the exposure of Telegram bot tokens in error messages. Specifically, when media downloads fail, the Telegram file URLs, which include bot tokens, are present in MediaFetchError strings and are logged or displayed in error surfaces. **Recommendations** Update to version 2026.3.13 or later.

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.22 Description A questão envolve uma falha ao impor as restrições de controlScope na ação de envio dentro do OpenClaw. Isso permite que subagentes folha enviem mensagens para sessões filhas além do escopo autorizado, ignorando as restrições de controle de acesso pretendidas. A ação `send` não valida adequadamente o escopo, permitindo comunicação não autorizada com sessões filhas. A correção envolve o encadeamento do contexto do controlador pelo caminho de envio e o bloqueio de tentativas de envio, a menos que o solicitante possua o destino e tenha controlScope definido como 'children'. Recommendations Atualize para a versão 2026.3.22 ou posterior.

**Name of the Vulnerable Software and Affected Versions** OpenClaw versions prior to 2026.3.13 **Description** The software reads and buffers Telegram webhook request bodies before validating the `x-telegram-bot-api-secret-token` header. This allows unauthenticated attackers to exhaust server resources by sending POST requests to the webhook endpoint. Attackers can force memory consumption, socket time, and JSON parsing work before authentication validation occurs. The affected API endpoint is the Telegram webhook endpoint. **Recommendations** Update to version 2026.3.13 or later.