Plattform
nodejs
Komponente
openclaw
Behoben in
2026.3.13
2026.3.13
CVE-2026-32980 is a denial-of-service (DoS) vulnerability affecting OpenClaw. The vulnerability exists because the application reads and buffers Telegram webhook request bodies before validating the x-telegram-bot-api-secret-token header. This allows unauthenticated attackers to exhaust server resources by sending POST requests to the webhook endpoint. This issue affects OpenClaw versions prior to 2026.3.13, and is fixed in version 2026.3.13.
CVE-2026-32980 in openclaw ermöglicht nicht authentifizierten Angreifern, bis zur konfigurierten Webhook-Body-Grenze E/A-Operationen und JSON-Parsing-Arbeit vor der Validierung des Telegram-API-Secret-Tokens zu erzwingen. Dies liegt daran, dass Versionen von openclaw kleiner oder gleich 2026.3.12 Telegram-Webhook-Request-Bodies lesen und puffern, bevor das x-telegram-bot-api-secret-token validiert wird. Ein Angreifer könnte dies ausnutzen, um Serverressourcen zu verbrauchen, was möglicherweise zu einem Denial-of-Service führt oder, in komplexeren Szenarien, unautorisierte Aktionen durchzuführen, wenn der Webhook so konfiguriert ist, dass er sensible Operationen ausführt.
Diese Schwachstelle ist besonders besorgniserregend für openclaw-Implementierungen, die als eigenständiger Telegram-Webhook fungieren. Ein Angreifer könnte bösartige Webhook-Anfragen senden, um Serverressourcen zu erschöpfen oder potenziell die Logik des Webhooks auszunutzen, wenn dieser sensible Aktionen ausführt. Das Fehlen einer anfänglichen Authentifizierung ermöglicht es jedem, Anfragen zu senden, was das Risiko erhöht. Der CVSS-Score von 7,5 weist auf ein hohes Risiko hin.
Exploit-Status
EPSS
0.09% (26% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung besteht darin, auf Version 2026.3.13 oder höher von openclaw zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie das Telegram-API-Secret-Token validiert, bevor der Webhook-Request-Body verarbeitet wird. Eine sofortige Aktualisierung wird dringend empfohlen, um das Risiko zu mindern. Stellen Sie außerdem sicher, dass Ihr Telegram-API-Secret-Token stark und eindeutig ist und sicher gespeichert wird. Überwachen Sie die Serverprotokolle auf ungewöhnliche Aktivitäten im Zusammenhang mit Webhook-Anfragen.
Actualice OpenClaw a la versión 2026.3.13 o superior. Esta versión corrige la vulnerabilidad de agotamiento de recursos al validar el encabezado x-telegram-bot-api-secret-token antes de procesar el cuerpo de la solicitud.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Telegram-Webhook ist eine Möglichkeit für Telegram, Updates an Ihre Anwendung zu senden, wenn bestimmte Ereignisse eintreten, z. B. neue Nachrichten oder Änderungen. Ihre Anwendung stellt eine URL (den Webhook) bereit, an die Telegram diese Daten sendet.
Überprüfen Sie die Version von openclaw, die Sie verwenden. Wenn sie kleiner oder gleich 2026.3.12 ist, sind Sie betroffen. Sie können die Version überprüfen, indem Sie npm list openclaw in Ihrem Terminal ausführen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie vorübergehende Maßnahmen zur Risikominderung ergreifen, z. B. die maximale Größe des Webhook-Request-Bodies zu begrenzen und die Serverprotokolle auf ungewöhnliche Aktivitäten zu überwachen.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen. Die Überwachung von Protokollen und die Versionsprüfung von openclaw sind jedoch effektive Methoden.
Ein CVSS-Score von 7,5 weist auf ein hohes Risiko hin. Das bedeutet, dass die Schwachstelle ausgenutzt werden kann und erhebliche Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit des Systems haben kann.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.