OpenClaw: Gemini OAuth onthulde de PKCE verifier via de OAuth state parameter

## Samenvatting Voor OpenClaw 2026.4.2 hergebruikte de Gemini OAuth flow de PKCE verifier als de OAuth `state` waarde. Omdat de provider `state` teruggaf in de redirect URL, kon de verifier worden onthuld naast de autorisatiecode. ## Impact Iedereen die de redirect URL kon onderscheppen, kon zowel de autorisatiecode als de PKCE verifier achterhalen, waardoor de interceptie bescherming van PKCE voor die flow werd omzeild en token inwisseling mogelijk werd. ## Aangetaste Packages / Versies - Package: `openclaw` (npm) - Aangetaste versies: `<= 2026.4.1` - Opgeloste versies: `>= 2026.4.2` - Laatst gepubliceerde npm versie: `2026.4.1` ## Fix Commit(s) - `a26f4d0f3ef0757db6c6c40277cc06a5de76c52f` — OAuth state scheiden van de PKCE verifier OpenClaw dankt @BG0ECV voor het melden.