CVE-2026-35657

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.25

Description A rota HTTP /sessions/:sessionKey/history não validava corretamente as permissões de leitura do operador, permitindo que invasores acessassem o histórico da sessão sem autorização. O problema ocorreu porque a rota autenticava tokens de portador, mas ignorava a verificação do escopo operator.read usada pelo endpoint WebSocket chat.history. Um commit (1c45123231516fa50f8cf8522ba5ff2fb2ca7aea) foi introduzido para exigir que os chamadores HTTP declarassem escopos de operador e rejeitassem leituras de histórico sem as permissões operator.read.

Recommendations Atualize para a versão 2026.3.25 ou posterior.