OpenClaw before 2026.3.22 contains a webhook reply delivery vulnerability that allows attackers to rebind chat replies to unintended users by exploiting mutable username matching instead of stable numeric user identifiers. Attackers can manipulate username changes to redirect webhook-triggered replies to different users, bypassing the intended recipient binding recorded in webhook events.
OpenClaw before version 2026.3.22 contains a webhook vulnerability allowing attackers to redirect chat replies to unintended users by exploiting mutable username matching. The flaw enables attackers to manipulate username changes and bypass intended recipient bindings in webhook events.
تحتوي ثغرة OpenClaw على عيب في آلية ربط ردود webhook حيث يتم استخدام أسماء المستخدمين القابلة للتغيير بدلاً من معرفات ثابتة. يمكن للمهاجمين استغلال هذا الضعف لتغيير أسماء المستخدمين وإعادة توجيه الردود المشفرة إلى مستخدمين آخرين.
OpenClaw قبل الإصدار 2026.3.22 يحتوي على ثغرة في webhook تسمح للمهاجمين بإعادة توجيه ردود الدردشة إلى مستخدمين غير مقصودين. تستغل الثغرة مطابقة أسماء المستخدمين القابلة للتغيير بدلاً من معرفات المستخدمين الثابتة.
Upgrade OpenClaw to version 2026.3.22 or later immediately. Implement numeric user identifier validation in webhook processing instead of relying on mutable usernames. Review webhook event logs for unauthorized reply redirections and audit user access patterns.
قم بترقية OpenClaw إلى الإصدار 2026.3.22 أو أحدث فوراً. طبق التحقق من معرفات المستخدمين الرقمية في معالجة webhook بدلاً من الاعتماد على أسماء المستخدمين القابلة للتغيير. راجع سجلات أحداث webhook للكشف عن إعادة التوجيه غير المصرح بها.