Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.28
2026.3.28
La CVE-2026-33580 est une vulnérabilité d'absence de limitation de débit dans OpenClaw qui permet à des attaquants de brute-forcer des secrets partagés faibles via l'authentification webhook de Nextcloud Talk. Un attaquant ayant accès au point de terminaison webhook peut exploiter cette faille pour forger des événements webhook entrants en tentant l'authentification de manière répétée sans limitation. Cette vulnérabilité affecte les versions d'OpenClaw antérieures à 2026.3.28. La version 2026.3.28 corrige ce problème.
La vulnérabilité CVE-2026-33580 dans OpenClaw affecte l'intégration Nextcloud Talk via des webhooks. Plus précisément, le système ne mettait pas en œuvre un contrôle de débit (rate limiting) approprié pour les échecs de vérification de la signature des webhooks. Étant donné que cette intégration repose sur un secret partagé configuré par l'opérateur, qui pourrait être faible, un attaquant ayant accès au point de terminaison du webhook pourrait tenter une attaque par force brute pour casser ce secret. Une fois compromis, l'attaquant pourrait falsifier des événements de webhook entrants, manipulant potentiellement le comportement de Nextcloud Talk.
Un attaquant a besoin d'un accès au point de terminaison du webhook Nextcloud Talk. Cela pourrait être réalisé par une configuration réseau incorrecte, une vulnérabilité dans un autre composant du système ou par ingénierie sociale. L'efficacité de l'attaque dépend de la force du secret partagé utilisé. Un secret faible peut être cassé relativement rapidement, tandis qu'un secret fort nécessitera un effort de calcul beaucoup plus important.
Organizations using Nextcloud Talk with webhooks, particularly those relying on weak or default shared secrets for webhook authentication, are at risk. Shared hosting environments where multiple users share the same Nextcloud instance and webhook configurations are also potentially vulnerable.
• nodejs / server: Monitor Nextcloud Talk logs for repeated failed webhook authentication attempts. Look for patterns of requests originating from the same IP address with different signatures.
journalctl -u nextcloud-talk --grep 'webhook authentication failure'• generic web: Check the Nextcloud Talk webhook endpoint for unusual activity using curl or wget. Verify that only expected requests are being received.
curl -v <webhook_url>disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
Pour atténuer ce risque, il est recommandé de mettre à jour OpenClaw vers la version 2026.3.28 ou ultérieure. Cette version inclut une correction qui met en œuvre le contrôle de débit nécessaire pour protéger contre les attaques par force brute sur la vérification de la signature des webhooks. De plus, il est conseillé d'utiliser des mots de passe ou des secrets partagés robustes et aléatoires pour configurer l'intégration Nextcloud Talk. Surveiller les journaux de Nextcloud Talk à la recherche de tentatives d'accès inhabituelles ou d'échecs répétés de vérification de signature peut également aider à détecter et à répondre à d'éventuelles attaques.
Actualice OpenClaw a la versión 2026.3.28 o posterior. Esta versión implementa limitación de velocidad en la autenticación de webhooks, mitigando el riesgo de ataques de fuerza bruta. Consulte el anuncio de seguridad y el commit en GitHub para obtener más detalles sobre la solución.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un webhook est un mécanisme qui permet à une application de notifier une autre application d'événements spécifiques. Dans ce cas, Nextcloud Talk utilise des webhooks pour envoyer des informations à d'autres applications.
Le secret partagé est utilisé pour vérifier l'authenticité des webhooks entrants. Il garantit que les événements de webhook proviennent d'une source fiable.
Si vous suspectez que votre secret partagé a été compromis, vous devez le modifier immédiatement dans la configuration de Nextcloud Talk et examiner les journaux à la recherche d'une activité suspecte.
En plus de mettre à jour OpenClaw et d'utiliser des secrets forts, envisagez de mettre en œuvre des pare-feu et des systèmes de détection d'intrusion pour protéger votre infrastructure.
Vous pouvez vérifier votre version d'OpenClaw en consultant la documentation d'OpenClaw ou en vérifiant les informations de version dans l'interface d'administration.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.