प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.12
CVE-2026-32924 OpenClaw में एक ऑथोराइज़ेशन बाईपास भेद्यता है। इस भेद्यता का फायदा उठाकर, हमलावर समूह चैट में सुरक्षा को बायपास कर सकते हैं। यह भेद्यता OpenClaw के 0–2026.3.12 संस्करणों को प्रभावित करती है। संस्करण 2026.3.12 में इस समस्या को ठीक कर दिया गया है।
OpenClaw में CVE-2026-32924 एक प्राधिकरण बाईपास भेद्यता है, जिसका CVSS स्कोर 9.8 है। विशेष रूप से, 'chat_type' फ़ील्ड को छोड़ने वाले Feishu प्रतिक्रिया इवेंट को गलत तरीके से P2P (एक-से-एक) वार्तालाप के बजाय समूह चैट के रूप में वर्गीकृत किया जाता है। यह हमलावरों को समूह चैट के लिए डिज़ाइन किए गए 'groupAllowFrom' और 'requireMention' सुरक्षा को बायपास करने की अनुमति देता है, जिससे समूह में अनधिकृत क्रियाएं करने या अनपेक्षित प्राप्तकर्ताओं को संदेश भेजने की संभावना होती है। इस भेद्यता की गंभीरता इस तथ्य में निहित है कि यह OpenClaw में समूह संचार की सुरक्षा से समझौता कर सकता है, जिससे फ़िशिंग हमले, स्पैम या संवेदनशील जानकारी का खुलासा हो सकता है।
एक हमलावर 'chat_type' फ़ील्ड को छोड़ने वाले Feishu प्रतिक्रिया इवेंट को भेजकर इस भेद्यता का फायदा उठा सकता है। गलत वर्गीकरण के कारण, OpenClaw इस इवेंट को P2P वार्तालाप से उत्पन्न होने वाला मानेगा। यह हमलावर को 'groupAllowFrom' (जो समूह में प्रतिक्रिया करने वाले को सीमित करता है) और 'requireMention' (जो एक विशिष्ट उपयोगकर्ता का उल्लेख करने की आवश्यकता होती है) की सीमाओं को बायपास करने की अनुमति देगा। फिर हमलावर समूह के भीतर अनधिकृत क्रियाएं कर सकता है, जैसे कि सदस्यों की सहमति के बिना सभी सदस्यों को संदेश भेजना या समूह कॉन्फ़िगरेशन को संशोधित करना। प्रतिक्रिया इवेंट वर्गीकरण में उचित प्रमाणीकरण की कमी इस समस्या का मूल कारण है।
Organizations utilizing OpenClaw for collaboration and communication, particularly those integrating with Feishu, are at risk. Environments relying on group chat protections for sensitive information or critical workflows are especially vulnerable. Any deployment of OpenClaw versions 0–2026.3.12 is potentially exposed.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को ठीक करने का तरीका OpenClaw को संस्करण 2026.3.12 या उच्चतर में अपडेट करना है। यह अपडेट Feishu के लिए प्रतिक्रिया इवेंट के वर्गीकरण तर्क को ठीक करता है, यह सुनिश्चित करता है कि उचित होने पर उन्हें समूह चैट के रूप में सही ढंग से वर्गीकृत किया जाए। OpenClaw उपयोगकर्ताओं को इस भेद्यता के शोषण के जोखिम को कम करने के लिए जल्द से जल्द इस अपडेट को लागू करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, अपने संगठन की सुरक्षा नीतियों के साथ संरेखित करने के लिए 'groupAllowFrom' और 'requireMention' से संबंधित सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें। OpenClaw लॉग की निगरानी संदिग्ध पैटर्न के लिए भी संभावित शोषण प्रयासों का पता लगाने और उनका जवाब देने में मदद कर सकती है।
Actualice OpenClaw a la versión 2026.3.12 o posterior. Esta versión corrige la vulnerabilidad de omisión de autorización al clasificar correctamente los eventos de reacción de Feishu.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
OpenClaw एक संचार मंच है जो विभिन्न उपकरणों और सेवाओं को एकीकृत करता है, जिसमें Feishu प्रतिक्रिया कार्यक्षमता शामिल है।
संस्करण 2026.3.12 CVE-2026-32924 को ठीक करता है, जो एक प्राधिकरण बाईपास को सक्षम करने वाली और समूह चैट की सुरक्षा से समझौता करने वाली भेद्यता है।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो 'groupAllowFrom' और 'requireMention' सुरक्षा कॉन्फ़िगरेशन की समीक्षा और मजबूत करें और OpenClaw लॉग की संदिग्ध गतिविधि के लिए निगरानी करें।
अगर आप 2026.3.12 से पहले के OpenClaw संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता के प्रति संवेदनशील हैं।
वर्तमान में, इस भेद्यता के शोषण का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। OpenClaw लॉग की निगरानी सबसे अच्छा विकल्प है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।