Plattform
nodejs
Komponente
openclaw
Behoben in
2026.3.12
2026.3.12
CVE-2026-32974 describes a vulnerability in openclaw's Feishu webhook mode where a missing encryptKey configuration allowed for the acceptance of forged inbound events. This could enable an unauthenticated attacker to inject malicious Feishu events, potentially impersonating senders and triggering downstream tool execution based on local agent policies. The vulnerability affects openclaw versions 2026.3.11 and earlier, but has been resolved in version 2026.3.12.
Die CVE-2026-32974 in OpenClaw betrifft Feishu-Webhook-Implementierungen, die nur verificationToken ohne encryptKey konfigurieren. Diese Konfiguration ermöglicht es bösartigen Akteuren, gefälschte Ereignisse über den Feishu-Webhook zu senden. Ein Angreifer mit Netzwerzzugriff und der Fähigkeit, den Webhook-Endpunkt zu erreichen, könnte gefälschte Ereignisse injizieren, Absender imitieren und potenziell nachgelagerte Tool-Ausführungen auslösen, vorbehaltlich der lokalen Agentenrichtlinie. Das Fehlen des Verschlüsselungsschlüssels schwächt die kryptografische Verifikationsgrenze und erleichtert die Identitätsfälschung und Manipulation von Ereignissen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein gefälschtes Feishu-Ereignis erstellt, das ein legitimes Ereignis imitiert. Durch das Weglassen des Verschlüsselungsschlüssels würde der OpenClaw-Webhook dieses gefälschte Ereignis ohne ordnungsgemäße kryptografische Verifizierung akzeptieren. Dies würde es dem Angreifer ermöglichen, unautorisierte Aktionen innerhalb des OpenClaw-Systems auszulösen, z. B. die Ausführung von Tools oder die Änderung von Daten. Die Leichtigkeit der Ausnutzung hängt von der Erreichbarkeit des Webhook-Endpunkts und der Fähigkeit des Angreifers ab, gut formatierte Feishu-Ereignisse zu erstellen.
Organizations using openclaw to integrate Feishu with other tools are at risk. This includes teams relying on automated workflows triggered by Feishu events, particularly those with less stringent security configurations or legacy deployments where webhook settings may have been overlooked.
• nodejs / server:
npm list openclaw• nodejs / server:
grep -r 'verificationToken' /path/to/openclaw/config.js # Check for missing encryptKey• generic web:
curl -I https://your-openclaw-instance/webhook # Check for expected headers (e.g., X-Signature-CA)disclosure
Exploit-Status
EPSS
0.06% (18% Perzentil)
CISA SSVC
CVSS-Vektor
Um diese Schwachstelle zu beheben, ist es entscheidend, OpenClaw auf Version 2026.3.12 oder höher zu aktualisieren. Diese Version behebt den Fehler, indem sie sowohl verificationToken als auch encryptKey für die Feishu-Webhook-Konfiguration erfordert. Stellen Sie sicher, dass Sie Ihre bestehenden Webhook-Konfigurationen überprüfen und aktualisieren, um dieser Anforderung zu entsprechen. Implementieren Sie außerdem strenge Zugriffskontrollen für den Webhook-Endpunkt, um den Zugriff auf autorisierte Benutzer und Netzwerke zu beschränken. Überwachen Sie die Webhook-Protokolle auf verdächtige Aktivitäten und konfigurieren Sie Warnmeldungen, um ungewöhnliche Ereignisse zu erkennen.
Actualice OpenClaw a la versión 2026.3.12 o posterior. Configure encryptKey junto con verificationToken para habilitar la verificación adecuada de los webhooks de Feishu.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Feishu ist eine Plattform für die Teamzusammenarbeit und -kommunikation, die Slack ähnelt.
Der encryptKey bietet eine zusätzliche Sicherheitsebene, indem er die Webhook-Daten verschlüsselt, was es schwieriger macht, Ereignisse zu fälschen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie strengere Zugriffskontrollen für den Webhook-Endpunkt implementieren und die Protokolle auf verdächtige Aktivitäten überwachen.
Überprüfen Sie Ihre Feishu-Webhook-Konfiguration, um sicherzustellen, dass sowohl verificationToken als auch encryptKey konfiguriert sind.
Es gibt zwar keine speziellen Tools, um gefälschte Feishu-Ereignisse zu erkennen, aber die Überwachung von Protokollen und die Konfiguration von Warnmeldungen können helfen, ungewöhnliche Aktivitäten zu identifizieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.