CVE-2026-41908

Name of the Vulnerable Software and Affected Versions OpenClaw versões anteriores a 2026.4.20

Description Existe uma falha de bypass de imposição de escopo na rota 'assistant-media'. Isso permite que chamadores de proxy confiáveis que não possuem o escopo operator.read ignorem a validação de escopo do caminho de autenticação HTTP com suporte a identidade. Consequentemente, usuários não autorizados podem acessar arquivos e metadados protegidos do assistant-media, permitindo a recuperação de conteúdo de mídia sensível dentro de raízes de mídia permitidas.

Recommendations Atualizar para a versão 2026.4.20.