OpenClaw is a personal AI assistant. In versions 2026.2.17 and below, the Discord moderation action handling (timeout, kick, ban) uses sender identity from request parameters in tool-driven flows, instead of trusted runtime sender context. In setups where Discord moderation actions are enabled and the bot has the necessary guild permissions, a non-admin user can request moderation actions by spoofing sender identity fields. This issue has been fixed in version 2026.2.18.
OpenClaw AI assistant versions 2026.2.17 and below allow non-admin users to perform Discord moderation actions by spoofing sender identity in request parameters. The vulnerability affects systems where Discord moderation is enabled and the bot has guild permissions.
تحتوي ثغرة في OpenClaw على معالجة غير آمنة لإجراءات تعديل Discord حيث يتم استخراج هوية المرسل من معاملات الطلب بدلاً من سياق وقت التشغيل الموثوق. يمكن للمستخدمين غير المسؤولين انتحال هوية المسؤولين وتنفيذ إجراءات مثل المهلة الزمنية والطرد والحظر. تم إصلاح المشكلة في الإصدار 2026.2.18.
مساعد OpenClaw الذكي في الإصدارات 2026.2.17 وما دونها يسمح للمستخدمين غير المسؤولين بتنفيذ إجراءات تعديل Discord من خلال انتحال هوية المرسل. تؤثر الثغرة على الأنظمة التي يكون فيها تعديل Discord مفعلاً والبوت لديه صلاحيات النقابة.
Upgrade OpenClaw to version 2026.2.18 or later immediately. Implement strict access controls for Discord bot permissions and validate sender identity from trusted runtime context rather than request parameters. Review audit logs for unauthorized moderation actions.
قم بترقية OpenClaw إلى الإصدار 2026.2.18 أو أحدث فوراً. طبق ضوابط وصول صارمة لصلاحيات بوت Discord والتحقق من هوية المرسل من سياق وقت التشغيل الموثوق. راجع سجلات التدقيق للإجراءات غير المصرح بها.