CVE-2026-32975

OpenClaw before 2026.3.12 contains a weak authorization vulnerability in Zalouser allowlist mode that matches mutable group display names instead of stable group identifiers. Attackers can create groups with identical names to allowlisted groups to bypass channel authorization and route messages from unintended groups to the agent.

OpenClaw before 2026.3.12 contains a weak authorization vulnerability in Zalouser allowlist mode that matches mutable group display names instead of stable group identifiers. Attackers can create groups with identical names to allowlisted groups to bypass channel authorization and route messages from unintended groups to the agent.

OpenClaw anterior a 2026.3.12 contiene una vulnerabilidad de autorización débil en el modo de lista de permitidos de Zalouser que coincide con nombres de visualización de grupos mutables en lugar de identificadores de grupo estables. Los atacantes pueden crear grupos con nombres idénticos a los grupos en la lista de permitidos para eludir la autorización del canal y redirigir mensajes de grupos no deseados al agente.