Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.3.12
2026.3.12
La vulnérabilité CVE-2026-34505 affecte OpenClaw et permet de contourner la limitation de débit. Un attaquant peut soumettre des requêtes d'authentification répétées avec des secrets invalides, permettant ainsi de deviner les secrets et de soumettre des webhooks falsifiés. Les versions affectées sont OpenClaw 0 jusqu'à 2026.3.12. La vulnérabilité est corrigée dans la version 2026.3.12.
La vulnérabilité CVE-2026-34505 dans OpenClaw affecte le gestionnaire de webhooks de Zalo. Le système appliquait la limitation de débit des requêtes après l'authentification réussie du webhook. Cela signifiait que les requêtes avec un secret non valide recevaient un code d'erreur 401, mais ne comptaient pas contre la limite de débit. Un attaquant pouvait donc tenter de deviner le secret de manière répétée sans atteindre la limite de 429. Une fois le secret deviné correctement, l'attaquant pouvait soumettre du trafic de webhook Zalo falsifié.
Cette vulnérabilité est particulièrement préoccupante car elle permet une attaque par force brute relativement simple contre les secrets de webhook. Bien que les secrets doivent être « conformes aux politiques » (c'est-à-dire respecter certaines politiques de sécurité), l'absence de limitation de débit avant l'authentification réduit considérablement la difficulté de deviner un secret faible. Une fois compromis, un attaquant pourrait manipuler les webhooks Zalo, ce qui pourrait avoir des conséquences importantes en fonction des fonctionnalités qui dépendent de ces webhooks.
Applications utilizing openclaw for Zalo webhook integration, particularly those with weak or easily guessable webhook secrets, are at risk. Shared hosting environments where multiple applications share the same webhook endpoint are also potentially vulnerable, as an attacker could target a single vulnerable application to gain access to others.
• nodejs: Use npm audit to check for vulnerable versions of openclaw. Monitor application logs for repeated 401 errors from webhook requests, which could indicate a brute-force attempt.
npm audit openclaw• generic web: Monitor access logs for a high volume of requests to the Zalo webhook endpoint with 401 status codes. Implement rate limiting on the webhook endpoint to detect and block suspicious activity.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
L'atténuation pour CVE-2026-34505 consiste à mettre à jour OpenClaw vers la version 2026.3.12 ou ultérieure. Cette version implémente la limitation de débit avant l'authentification du webhook, empêchant les attaquants de faire un nombre excessif de tentatives de devinettes de secret. Il est fortement recommandé de mettre à jour pour se protéger contre ce risque de sécurité. De plus, l'utilisation de secrets de webhook robustes et complexes est recommandée pour entraver davantage les attaques par force brute.
Actualice OpenClaw a la versión 2026.3.12 o posterior. Esta versión implementa la limitación de velocidad antes de la autenticación del webhook, evitando el bypass y los ataques de fuerza bruta.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un webhook Zalo est un moyen de recevoir des notifications en temps réel de Zalo concernant des événements spécifiques, tels que de nouveaux messages ou des mises à jour de l'état. OpenClaw utilise des webhooks pour interagir avec la plateforme Zalo.
Cela signifie que le secret du webhook doit respecter les politiques de sécurité établies par Zalo, telles qu'une longueur minimale et l'utilisation de caractères sécurisés.
Si vous avez déjà mis à jour, il est important de revoir la configuration de vos webhooks et de vous assurer que les secrets sont suffisamment robustes et complexes pour résister aux attaques par force brute.
Oui, envisagez de mettre en œuvre des mesures supplémentaires telles que la surveillance de l'activité des webhooks et la restriction de l'accès aux points de terminaison des webhooks.
Vous pouvez vérifier la version d'OpenClaw en consultant la documentation d'OpenClaw ou en exécutant une commande de vérification de version spécifique à OpenClaw.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.