OpenClaw before 2026.3.24 contains missing authorization vulnerabilities in the /send and /allowlist chat command handlers. The /send command allows non-owner command-authorized senders to change owner-only session delivery policy settings, and the /allowlist mutating commands fail to enforce operator.admin scope. Attackers with operator.write scope can invoke /send on|off|inherit to persistently mutate the current session's sendPolicy, and execute /allowlist add commands to modify config-backed allowFrom entries and pairing-store allowlist entries without proper admin authorization.
OpenClaw before 2026.3.24 has missing authorization checks in chat command handlers allowing attackers with operator.write scope to modify session delivery policies and allowlist entries without admin privileges. This enables unauthorized configuration changes that could affect message delivery and access control mechanisms.
يحتوي OpenClaw على ثغرات تفويض مفقودة في معالجات أوامر /send و/allowlist تسمح للمهاجمين بتجاوز الضوابط الأمنية. يمكن للمهاجمين الذين لديهم صلاحيات operator.write تعديل سياسات التسليم والقوائم البيضاء بشكل دائم دون الحصول على صلاحيات إدارية مناسبة.
OpenClaw قبل الإصدار 2026.3.24 يحتوي على نقاط ضعف في التحقق من الصلاحيات في معالجات أوامر الدردشة، مما يسمح للمهاجمين بصلاحيات operator.write بتعديل سياسات التسليم والقوائم البيضاء دون امتيازات إدارية. هذا يمكن المهاجمين من إجراء تغييرات غير مصرح بها على الإعدادات الحرجة.
Update OpenClaw to version 2026.3.24 or later immediately. Implement proper authorization checks for all chat command handlers, enforce operator.admin scope requirements for /allowlist mutations, and restrict /send command access to owner-authorized users only. Review and audit all user permissions and scope assignments.
قم بتحديث OpenClaw إلى الإصدار 2026.3.24 أو أحدث فوراً. نفذ فحوصات التفويض الصحيحة لجميع معالجات أوامر الدردشة، وفرض متطلبات نطاق operator.admin لأوامر /allowlist، وقيد وصول أمر /send للمستخدمين المصرح لهم فقط. راجع وتدقيق جميع أذونات المستخدمين والنطاقات المعينة.