OpenClaw < 2026.3.13 - Esgotamento de Recursos via Requisição Webhook Telegram Não Autenticada

OpenClaw anterior a 2026.3.13 lê e armazena em buffer os corpos de requisição webhook do Telegram antes de validar o cabeçalho x-telegram-bot-api-secret-token, permitindo que atacantes não autenticados esgotem os recursos do servidor. Os atacantes podem enviar requisições POST para o endpoint webhook para forçar o consumo de memória, tempo de socket e trabalho de análise JSON antes que a validação de autenticação ocorra.