UNKNOWNCVE-2026-32974
OpenClaw < 2026.3.12 - Feishu वेबहुक सत्यापन टोकन के माध्यम से जाली इवेंट इंजेक्शन (Forged Event Injection)
प्लेटफ़ॉर्म
other
कॉम्पोनेन्ट
openclaw
ठीक किया गया
2026.3.12
OpenClaw 2026.3.12 से पहले Feishu वेबहुक मोड में प्रमाणीकरण बाईपास (authentication bypass) भेद्यता शामिल है जब केवल verificationToken को encryptKey के बिना कॉन्फ़िगर किया जाता है, जिससे जाली घटनाओं की स्वीकृति मिलती है। अप्रमाणित नेटवर्क हमलावर जाली Feishu घटनाओं को इंजेक्ट कर सकते हैं और वेबहुक एंडपॉइंट तक पहुंचकर डाउनस्ट्रीम टूल निष्पादन को ट्रिगर कर सकते हैं।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें