Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.13
2026.3.13
La vulnérabilité CVE-2026-32980 affecte OpenClaw, spécifiquement les versions de 0 à 2026.3.13. Elle permet à des attaquants non authentifiés de provoquer une attaque par déni de service (DoS) en épuisant les ressources du serveur. L'impact principal est l'indisponibilité du service. La version 2026.3.13 d'OpenClaw inclut un correctif pour cette vulnérabilité.
La vulnérabilité CVE-2026-32980 dans openclaw permet à des attaquants non authentifiés de forcer jusqu'à la limite configurée du corps de la requête webhook pour les opérations d'E/S et d'analyse JSON avant la validation du jeton secret de l'API Telegram. Cela est dû au fait que les versions de openclaw inférieures ou égales à 2026.3.12 lisent et mettent en mémoire tampon le corps des requêtes webhook Telegram avant de vérifier le jeton x-telegram-bot-api-secret-token. Un attaquant pourrait exploiter cela pour consommer des ressources serveur, ce qui pourrait entraîner un déni de service ou, dans des scénarios plus complexes, pour effectuer des actions non autorisées si le webhook est configuré pour effectuer des opérations sensibles.
Cette vulnérabilité est particulièrement préoccupante pour les implémentations de openclaw agissant en tant que webhook Telegram autonome. Un attaquant pourrait envoyer des requêtes webhook malveillantes pour épuiser les ressources du serveur ou, potentiellement, exploiter la logique du webhook si celui-ci effectue des actions sensibles. L'absence d'authentification initiale permet à quiconque d'envoyer des requêtes, ce qui augmente le risque. Le score CVSS de 7,5 indique un risque élevé.
Statut de l'Exploit
EPSS
0.09% (percentile 26%)
CISA SSVC
Vecteur CVSS
La solution consiste à mettre à niveau vers la version 2026.3.13 ou ultérieure de openclaw. Cette version corrige la vulnérabilité en validant le jeton secret de l'API Telegram avant de traiter le corps de la requête webhook. Une mise à niveau immédiate est fortement recommandée pour atténuer le risque. Assurez-vous également que votre jeton secret de l'API Telegram est fort et unique, et qu'il est stocké en toute sécurité. Surveillez les journaux du serveur à la recherche d'activités inhabituelles liées aux requêtes webhook.
Mettez à jour OpenClaw vers la version 2026.3.13 ou ultérieure. Cette version corrige la vulnérabilité d'épuisement des ressources en validant l'en-tête x-telegram-bot-api-secret-token avant de traiter les requêtes du webhook Telegram.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un webhook Telegram est un moyen pour Telegram d'envoyer des mises à jour à votre application lorsque certains événements se produisent, tels que de nouveaux messages ou des modifications. Votre application fournit une URL (le webhook) vers laquelle Telegram envoie ces données.
Vérifiez la version de openclaw que vous utilisez. Si elle est inférieure ou égale à 2026.3.12, vous êtes affecté. Vous pouvez vérifier la version en exécutant npm list openclaw dans votre terminal.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures d'atténuation temporaires, telles que la limitation de la taille maximale du corps de la requête webhook et la surveillance des journaux du serveur à la recherche d'activités inhabituelles.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité. Cependant, la surveillance des journaux et la vérification de la version de openclaw sont des méthodes efficaces.
Un score CVSS de 7,5 indique un risque élevé. Cela signifie que la vulnérabilité est exploitable et peut avoir un impact significatif sur la confidentialité, l'intégrité ou la disponibilité du système.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.