मुफ्त स्कैन करें
HIGHCVE-2026-32974CVSS 8.6

OpenClaw < 2026.3.12 - Feishu वेबहुक सत्यापन टोकन के माध्यम से जाली इवेंट इंजेक्शन (Forged Event Injection)

प्लेटफ़ॉर्म

nodejs

घटक

openclaw

में ठीक किया गया

2026.3.12

2026.3.12

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-32974, OpenClaw में एक प्रमाणीकरण बाईपास भेद्यता है, जो हमलावरों को जाली Feishu घटनाओं को इंजेक्ट करने और वेबहुक एंडपॉइंट तक पहुंचकर डाउनस्ट्रीम टूल निष्पादन को ट्रिगर करने की अनुमति देती है। यह भेद्यता Feishu वेबहुक मोड में मौजूद है जब केवल verificationToken को encryptKey के बिना कॉन्फ़िगर किया जाता है। यह भेद्यता OpenClaw के 0–2026.3.12 संस्करणों को प्रभावित करती है और संस्करण 2026.3.12 में ठीक की गई है।

प्रभाव और हमले की स्थितियाँ

OpenClaw में CVE-2026-32974 Feishu webhook कार्यान्वयन को प्रभावित करता है जो केवल verificationToken को कॉन्फ़िगर करते हैं बिना encryptKey के। यह कॉन्फ़िगरेशन दुर्भावनापूर्ण अभिनेताओं को Feishu webhook के माध्यम से जाली घटनाओं को भेजने की अनुमति देता है। नेटवर्क एक्सेस और webhook एंडपॉइंट तक पहुंचने की क्षमता वाले एक हमलावर जाली घटनाओं को इंजेक्ट कर सकते हैं, प्रेषकों का प्रतिरूपण कर सकते हैं और स्थानीय एजेंट नीति के अधीन, डाउनस्ट्रीम टूल निष्पादन को ट्रिगर कर सकते हैं। एन्क्रिप्शन कुंजी की कमी क्रिप्टोग्राफिक सत्यापन सीमा को कमजोर करती है, जिससे पहचान प्रतिरूपण और घटनाओं में हेरफेर करना आसान हो जाता है।

शोषण संदर्भ

एक हमलावर इस भेद्यता का फायदा उठाकर एक जाली Feishu घटना बना सकता है जो एक वैध घटना की नकल करती है। एन्क्रिप्शन कुंजी को छोड़ देने पर, OpenClaw webhook उचित क्रिप्टोग्राफिक सत्यापन के बिना इस जाली घटना को स्वीकार कर लेगा। यह हमलावर को OpenClaw सिस्टम के भीतर अनधिकृत क्रियाएं करने की अनुमति देगा, जैसे कि टूल निष्पादन या डेटा संशोधन। शोषण में आसानी webhook एंडपॉइंट की पहुंच क्षमता और हमलावर की अच्छी तरह से स्वरूपित Feishu घटनाओं को बनाने की क्षमता पर निर्भर करती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using openclaw to integrate Feishu with other tools are at risk. This includes teams relying on automated workflows triggered by Feishu events, particularly those with less stringent security configurations or legacy deployments where webhook settings may have been overlooked.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / server:

  npm list openclaw

• nodejs / server:

  grep -r 'verificationToken' /path/to/openclaw/config.js # Check for missing encryptKey

• generic web:

  curl -I https://your-openclaw-instance/webhook # Check for expected headers (e.g., X-Signature-CA)

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट2 खतरा रिपोर्ट

EPSS

0.06% (18% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L8.6HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकopenclaw
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
0 – 2026.3.122026.3.12
2026.3.12

कमजोरी वर्गीकरण (CWE)

CWE-347

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, OpenClaw को संस्करण 2026.3.12 या उच्चतर में अपडेट करना महत्वपूर्ण है। यह संस्करण Feishu webhook कॉन्फ़िगरेशन के लिए verificationToken और encryptKey दोनों की आवश्यकता के माध्यम से इस त्रुटि को ठीक करता है। सुनिश्चित करें कि आप इस आवश्यकता का अनुपालन करने के लिए अपने मौजूदा webhook कॉन्फ़िगरेशन की समीक्षा और अपडेट करें। इसके अतिरिक्त, अधिकृत उपयोगकर्ताओं और नेटवर्क तक पहुंच को सीमित करने के लिए webhook एंडपॉइंट पर सख्त एक्सेस नियंत्रण लागू करें। संदिग्ध गतिविधि के लिए webhook लॉग की निगरानी करें और असामान्य घटनाओं का पता लगाने के लिए अलर्ट कॉन्फ़िगर करें।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice OpenClaw a la versión 2026.3.12 o posterior. Configure encryptKey junto con verificationToken para habilitar la verificación adecuada de los webhooks de Feishu.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-32974 क्या है — openclaw में?

Feishu Slack के समान एक टीम सहयोग और संचार मंच है।

क्या मैं openclaw में CVE-2026-32974 से प्रभावित हूं?

encryptKey webhook डेटा को एन्क्रिप्ट करके एक अतिरिक्त सुरक्षा परत प्रदान करता है, जिससे घटनाओं को जाली बनाना अधिक कठिन हो जाता है।

openclaw में CVE-2026-32974 को कैसे ठीक करें?

यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो webhook एंडपॉइंट पर सख्त एक्सेस नियंत्रण लागू करने और संदिग्ध गतिविधि के लिए लॉग की निगरानी करने पर विचार करें।

क्या CVE-2026-32974 का सक्रिय रूप से शोषण किया जा रहा है?

जांचें कि आपका Feishu webhook कॉन्फ़िगरेशन verificationToken और encryptKey दोनों को कॉन्फ़िगर किया गया है या नहीं।

CVE-2026-32974 के लिए openclaw का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

हालांकि Feishu की जाली घटनाओं का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन लॉग की निगरानी और अलर्ट कॉन्फ़िगरेशन असामान्य गतिविधि की पहचान करने में मदद कर सकते हैं।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें