OpenClaw before 2026.5.18 contains an authorization bypass vulnerability in QQBot native approval buttons that fails to enforce configured approver identity. Non-approver users can click approval buttons to resolve pending exec or plugin approval requests without proper authorization.
OpenClaw before version 2026.5.18 contains an authorization bypass vulnerability in QQBot native approval buttons that allows non-approver users to approve pending requests. This vulnerability fails to properly enforce configured approver identity, enabling unauthorized users to resolve exec or plugin approval requests.
تحتوي هذه الثغرة على فشل في التحقق من هوية المصرح عند استخدام أزرار الموافقة الأصلية في QQBot. يمكن لأي مستخدم غير مصرح بالموافقة على الطلبات المعلقة المتعلقة بتنفيذ البرامج أو الإضافات. هذا يشكل خطراً كبيراً على سلامة عمليات الموافقة والتحكم في الوصول.
OpenClaw قبل الإصدار 2026.5.18 يحتوي على ثغرة تجاوز التفويض في أزرار الموافقة الأصلية في QQBot التي تسمح للمستخدمين غير المصرحين بالموافقة على الطلبات المعلقة. تفشل هذه الثغرة في فرض هوية المصرح المكون بشكل صحيح.
Upgrade OpenClaw to version 2026.5.18 or later immediately. Review and audit all approval requests processed through QQBot approval buttons for unauthorized approvals. Implement additional access controls and logging for approval workflows. Restrict QQBot approval button access to verified approver accounts only.
قم بترقية OpenClaw إلى الإصدار 2026.5.18 أو أحدث فوراً. راجع وتدقيق جميع طلبات الموافقة المعالجة من خلال أزرار الموافقة في QQBot للموافقات غير المصرح بها. تنفيذ عناصر تحكم وسجلات وصول إضافية لسير عمل الموافقة. تقييد وصول أزرار الموافقة في QQBot للحسابات المصرح بها فقط.