CVE-2026-35660

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.3.23

Descrição OpenClaw contém uma falha de controle de acesso insuficiente no agente Gateway. O endpoint /reset permite que chamadores com permissão operator.write redefinam sessões de administrador. Atacantes com privilégios operator.write podem invocar mensagens /reset ou /new com uma sessionKey explícita para ignorar os requisitos de operator.admin e redefinir sessões arbitrárias. O código vulnerável reside em src/gateway/server-methods/agent.ts dentro da função performGatewaySessionReset().

Recomendações Atualize para a versão 2026.3.23 ou posterior.