CVE-2026-41298

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.4.2

Description Em modos HTTP com suporte a identidade, o software falha ao aplicar escopos de escrita no endpoint 'POST /sessions/:sessionKey/kill'. Esta falha de autorização permite que chamadores com escopos de operador apenas de leitura realizem mutações de plano de controle de classe de escrita, permitindo-lhes encerrar sessões de subagentes em execução e interromper trabalhos delegados ao enviar solicitações para o endpoint afetado usando a variável sessionKey.

Recommendations Atualize para a versão 2026.4.2 ou posterior.