OpenClaw before 2026.3.25 contains an authorization bypass vulnerability in the HTTP /sessions/:sessionKey/history route that skips operator.read scope validation. Attackers can access session history without proper operator read permissions by sending HTTP requests to the vulnerable endpoint.
OpenClaw versions before 2026.3.25 contain an authorization bypass vulnerability in the /sessions/:sessionKey/history route that fails to validate operator.read scope permissions. Attackers can access sensitive session history data without proper authorization by directly requesting the vulnerable endpoint.
تحتوي ثغرة CWE-863 على فشل في التحقق من التفويض في مسار معين من OpenClaw يسمح بالوصول إلى بيانات سجل الجلسة الحساسة. يمكن للمهاجمين استغلال هذه الثغرة بسهولة عن طريق إرسال طلبات HTTP مباشرة دون الحاجة إلى بيانات اعتماد صحيحة.
إصدارات OpenClaw السابقة للإصدار 2026.3.25 تحتوي على ثغرة تجاوز التفويض في مسار /sessions/:sessionKey/history الذي يفشل في التحقق من صلاحيات نطاق operator.read. يمكن للمهاجمين الوصول إلى بيانات سجل الجلسة الحساسة دون تفويض مناسب عن طريق طلب المسار الضعيف مباشرة.
Upgrade OpenClaw to version 2026.3.25 or later immediately. Implement network-level access controls to restrict access to the /sessions/:sessionKey/history endpoint. Review access logs for unauthorized session history access attempts. Implement proper scope validation at the API gateway level as a defense-in-depth measure.
قم بترقية OpenClaw إلى الإصدار 2026.3.25 أو أحدث على الفور. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية /sessions/:sessionKey/history. راجع سجلات الوصول لمحاولات الوصول غير المصرح بها إلى سجل الجلسة. طبق التحقق من النطاق المناسب على مستوى بوابة API كإجراء دفاعي متعدد الطبقات.