OpenClaw: Gemini OAuth ने OAuth राज्य पैरामीटर के माध्यम से PKCE सत्यापनकर्ता को उजागर किया

## सारांश OpenClaw 2026.4.2 से पहले, Gemini OAuth प्रवाह ने PKCE सत्यापनकर्ता को OAuth `state` मान के रूप में पुन: उपयोग किया। चूंकि प्रदाता को पुनर्निर्देश URL में `state` वापस दर्शाया गया था, इसलिए सत्यापनकर्ता को प्राधिकरण कोड के साथ उजागर किया जा सकता था। ## प्रभाव कोई भी व्यक्ति जो पुनर्निर्देश URL को कैप्चर कर सकता था, वह प्राधिकरण कोड और PKCE सत्यापनकर्ता दोनों सीख सकता था, जिससे उस प्रवाह के लिए PKCE का अवरोधन संरक्षण विफल हो जाता और टोकन रिडेम्पशन को सक्षम किया जा सकता था। ## प्रभावित पैकेज / संस्करण - पैकेज: `openclaw` (npm) - प्रभावित संस्करण: `<= 2026.4.1` - पैच किए गए संस्करण: `>= 2026.4.2` - नवीनतम प्रकाशित npm संस्करण: `2026.4.1` ## फिक्स कमिट(s) - `a26f4d0f3ef0757db6c6c40277cc06a5de76c52f` — OAuth राज्य को PKCE सत्यापनकर्ता से अलग करें OpenClaw @BG0ECV को रिपोर्ट करने के लिए धन्यवाद देता है।