Plattform
nodejs
Komponente
openclaw
Behoben in
2026.3.12
2026.3.12
CVE-2026-34505 is a rate limiting bypass vulnerability in openclaw, affecting versions up to 2026.3.11. The flaw allows attackers to repeatedly guess webhook secrets without triggering rate limits, making brute-force attacks more feasible. This vulnerability has been fixed in openclaw version 2026.3.12.
CVE-2026-34505 in OpenClaw betrifft den Zalo-Webhook-Handler. Das System wendete die Ratenbegrenzung von Anfragen nachdem die Webhook-Authentifizierung erfolgreich war. Dies bedeutete, dass Anfragen mit einem ungültigen Geheimnis einen 401-Fehler erhielten, aber nicht auf die Ratenbegrenzung angerechnet wurden. Ein Angreifer konnte daher wiederholt das Geheimnis erraten, ohne die 429-Grenze zu erreichen. Sobald das Geheimnis korrekt erraten wurde, konnte der Angreifer gefälschten Zalo-Webhook-Traffic einreichen.
Diese Schwachstelle ist besonders besorgniserregend, da sie einen relativ einfachen Brute-Force-Angriff auf Webhook-Geheimnisse ermöglicht. Obwohl die Geheimnisse „richtlinienkonform“ sein sollten (d. h. bestimmte Sicherheitsrichtlinien einhalten), verringert das Fehlen einer Ratenbegrenzung vor der Authentifizierung die Schwierigkeit, ein schwaches Geheimnis zu erraten, erheblich. Sobald es kompromittiert ist, könnte ein Angreifer Zalo-Webhooks manipulieren, was je nach den Funktionen, die von diesen Webhooks abhängen, erhebliche Folgen haben könnte.
Applications utilizing openclaw for Zalo webhook integration, particularly those with weak or easily guessable webhook secrets, are at risk. Shared hosting environments where multiple applications share the same webhook endpoint are also potentially vulnerable, as an attacker could target a single vulnerable application to gain access to others.
• nodejs: Use npm audit to check for vulnerable versions of openclaw. Monitor application logs for repeated 401 errors from webhook requests, which could indicate a brute-force attempt.
npm audit openclaw• generic web: Monitor access logs for a high volume of requests to the Zalo webhook endpoint with 401 status codes. Implement rate limiting on the webhook endpoint to detect and block suspicious activity.
disclosure
Exploit-Status
EPSS
0.07% (22% Perzentil)
CISA SSVC
CVSS-Vektor
Die Abmilderung für CVE-2026-34505 besteht darin, OpenClaw auf Version 2026.3.12 oder höher zu aktualisieren. Diese Version implementiert die Ratenbegrenzung vor der Webhook-Authentifizierung und verhindert so, dass Angreifer eine übermäßige Anzahl von Versuchen unternehmen, das Geheimnis zu erraten. Es wird dringend empfohlen, zu aktualisieren, um sich vor diesem Sicherheitsrisiko zu schützen. Darüber hinaus wird empfohlen, robuste und komplexe Webhook-Geheimnisse zu verwenden, um Brute-Force-Angriffe weiter zu erschweren.
Actualice OpenClaw a la versión 2026.3.12 o posterior. Esta versión implementa la limitación de velocidad antes de la autenticación del webhook, evitando el bypass y los ataques de fuerza bruta.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Zalo-Webhook ist eine Möglichkeit, in Echtzeit Benachrichtigungen von Zalo über bestimmte Ereignisse zu erhalten, z. B. neue Nachrichten oder Statusaktualisierungen. OpenClaw verwendet Webhooks, um mit der Zalo-Plattform zu interagieren.
Das bedeutet, dass das Webhook-Geheimnis den von Zalo festgelegten Sicherheitsrichtlinien entsprechen muss, z. B. einer Mindestlänge und der Verwendung sicherer Zeichen.
Wenn Sie bereits aktualisiert haben, ist es wichtig, die Konfiguration Ihrer Webhooks zu überprüfen und sicherzustellen, dass die Geheimnisse robust und komplex genug sind, um Brute-Force-Angriffe zu widerstehen.
Ja, erwägen Sie, zusätzliche Maßnahmen zu ergreifen, z. B. die Überwachung der Webhook-Aktivität und die Beschränkung des Zugriffs auf Webhook-Endpunkte.
Sie können die OpenClaw-Version überprüfen, indem Sie die OpenClaw-Dokumentation konsultieren oder einen OpenClaw-spezifischen Versionsprüfungskommando ausführen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.