OpenClaw before 2026.3.13 contains an information disclosure vulnerability in the fetchRemoteMedia function that exposes Telegram bot tokens in error messages. When media downloads fail, the original Telegram file URLs containing bot tokens are embedded in MediaFetchError strings and leaked to logs and error surfaces.
OpenClaw versions before 2026.3.13 leak Telegram bot tokens in error messages when media downloads fail, exposing sensitive authentication credentials. The vulnerability allows attackers to obtain valid bot tokens from logs and error surfaces, potentially compromising Telegram bot operations.
يحتوي OpenClaw على ثغرة كشف معلومات في دالة fetchRemoteMedia حيث يتم تضمين عناوين URL ملفات Telegram الأصلية التي تحتوي على رموز البوت في سلاسل MediaFetchError. يؤدي هذا إلى تسرب بيانات اعتماد المصادقة الحساسة إلى السجلات وواجهات معالجة الأخطاء حيث يمكن للمهاجمين الوصول إليها بسهولة.
إصدارات OpenClaw السابقة للإصدار 2026.3.13 تسرب رموز بوت Telegram في رسائل الخطأ عند فشل تنزيل الوسائط، مما يعرض بيانات اعتماد المصادقة الحساسة. يمكن للمهاجمين الحصول على رموز بوت صحيحة من السجلات وواجهات الخطأ، مما قد يؤدي إلى اختراق عمليات بوت Telegram.
Upgrade OpenClaw to version 2026.3.13 or later immediately. Implement log sanitization to remove sensitive tokens before storage. Rotate all Telegram bot tokens that may have been exposed. Review access logs for unauthorized token usage. Implement secret management solutions to prevent token exposure in error messages.
قم بترقية OpenClaw إلى الإصدار 2026.3.13 أو أحدث على الفور. تطبيق تنظيف السجلات لإزالة الرموز الحساسة قبل التخزين. تدوير جميع رموز بوت Telegram التي قد تكون تعرضت للكشف. مراجعة سجلات الوصول للاستخدام غير المصرح به. تطبيق حلول إدارة الأسرار لمنع تسرب الرموز في رسائل الخطأ.