CVE-2026-41299

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.3.28

Description Existe um bypass de autorização no método de gateway 'chat.send'. O problema ocorre porque os campos de proveniência exclusivos do ACP são controlados por metadados do cliente autodeclarados do handshake WebSocket, em vez de um estado de autorização verificado. Isso permite que clientes de operador autenticados falsifiquem rótulos de identidade ACP e injetem campos de proveniência reservados destinados exclusivamente à ponte ACP, manipulando os metadados do cliente durante o processo de conexão.

Recommendations Atualizar para a versão 2026.3.28.