OpenClaw before 2026.3.25 contains an authorization bypass vulnerability in Telegram callback query handling that allows attackers to mutate session state without satisfying normal DM pairing requirements. Remote attackers can exploit weaker callback-only authorization in direct messages to bypass DM pairing and modify session state.
OpenClaw before version 2026.3.25 contains an authorization bypass vulnerability in Telegram callback query handling that allows attackers to mutate session state without proper DM pairing requirements. Remote attackers can exploit weaker callback-only authorization to bypass security controls and modify session state in direct messages.
تسمح هذه الثغرة للمهاجمين بتجاوز آليات التفويض في معالجة استعلامات رد الاتصال في Telegram، مما يؤدي إلى تعديل غير مصرح به لحالة الجلسة. الثغرة تؤثر على الإصدارات السابقة للإصدار 2026.3.25 وتتطلب تحديثاً فورياً.
OpenClaw قبل الإصدار 2026.3.25 يحتوي على ثغرة تجاوز التفويض في معالجة استعلامات رد الاتصال في Telegram تسمح للمهاجمين بتغيير حالة الجلسة دون متطلبات الإقران العادية. يمكن للمهاجمين البعيدين استغلال التفويض الأضعف المرتبط بالرد الاتصال فقط لتجاوز الضوابط الأمنية.
Update OpenClaw to version 2026.3.25 or later immediately. Implement strict callback query validation and enforce DM pairing requirements for all session state modifications. Review and strengthen authorization checks in Telegram integration code.
قم بتحديث OpenClaw إلى الإصدار 2026.3.25 أو أحدث فوراً. قم بتنفيذ التحقق الصارم من استعلامات رد الاتصال وفرض متطلبات الإقران في الرسائل المباشرة لجميع تعديلات حالة الجلسة. راجع وقوّي فحوصات التفويض في كود تكامل Telegram.