प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.12
2026.3.12
CVE-2026-32974, OpenClaw में एक प्रमाणीकरण बाईपास भेद्यता है, जो हमलावरों को जाली Feishu घटनाओं को इंजेक्ट करने और वेबहुक एंडपॉइंट तक पहुंचकर डाउनस्ट्रीम टूल निष्पादन को ट्रिगर करने की अनुमति देती है। यह भेद्यता Feishu वेबहुक मोड में मौजूद है जब केवल verificationToken को encryptKey के बिना कॉन्फ़िगर किया जाता है। यह भेद्यता OpenClaw के 0–2026.3.12 संस्करणों को प्रभावित करती है और संस्करण 2026.3.12 में ठीक की गई है।
OpenClaw में CVE-2026-32974 Feishu webhook कार्यान्वयन को प्रभावित करता है जो केवल verificationToken को कॉन्फ़िगर करते हैं बिना encryptKey के। यह कॉन्फ़िगरेशन दुर्भावनापूर्ण अभिनेताओं को Feishu webhook के माध्यम से जाली घटनाओं को भेजने की अनुमति देता है। नेटवर्क एक्सेस और webhook एंडपॉइंट तक पहुंचने की क्षमता वाले एक हमलावर जाली घटनाओं को इंजेक्ट कर सकते हैं, प्रेषकों का प्रतिरूपण कर सकते हैं और स्थानीय एजेंट नीति के अधीन, डाउनस्ट्रीम टूल निष्पादन को ट्रिगर कर सकते हैं। एन्क्रिप्शन कुंजी की कमी क्रिप्टोग्राफिक सत्यापन सीमा को कमजोर करती है, जिससे पहचान प्रतिरूपण और घटनाओं में हेरफेर करना आसान हो जाता है।
एक हमलावर इस भेद्यता का फायदा उठाकर एक जाली Feishu घटना बना सकता है जो एक वैध घटना की नकल करती है। एन्क्रिप्शन कुंजी को छोड़ देने पर, OpenClaw webhook उचित क्रिप्टोग्राफिक सत्यापन के बिना इस जाली घटना को स्वीकार कर लेगा। यह हमलावर को OpenClaw सिस्टम के भीतर अनधिकृत क्रियाएं करने की अनुमति देगा, जैसे कि टूल निष्पादन या डेटा संशोधन। शोषण में आसानी webhook एंडपॉइंट की पहुंच क्षमता और हमलावर की अच्छी तरह से स्वरूपित Feishu घटनाओं को बनाने की क्षमता पर निर्भर करती है।
Organizations using openclaw to integrate Feishu with other tools are at risk. This includes teams relying on automated workflows triggered by Feishu events, particularly those with less stringent security configurations or legacy deployments where webhook settings may have been overlooked.
• nodejs / server:
npm list openclaw• nodejs / server:
grep -r 'verificationToken' /path/to/openclaw/config.js # Check for missing encryptKey• generic web:
curl -I https://your-openclaw-instance/webhook # Check for expected headers (e.g., X-Signature-CA)disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, OpenClaw को संस्करण 2026.3.12 या उच्चतर में अपडेट करना महत्वपूर्ण है। यह संस्करण Feishu webhook कॉन्फ़िगरेशन के लिए verificationToken और encryptKey दोनों की आवश्यकता के माध्यम से इस त्रुटि को ठीक करता है। सुनिश्चित करें कि आप इस आवश्यकता का अनुपालन करने के लिए अपने मौजूदा webhook कॉन्फ़िगरेशन की समीक्षा और अपडेट करें। इसके अतिरिक्त, अधिकृत उपयोगकर्ताओं और नेटवर्क तक पहुंच को सीमित करने के लिए webhook एंडपॉइंट पर सख्त एक्सेस नियंत्रण लागू करें। संदिग्ध गतिविधि के लिए webhook लॉग की निगरानी करें और असामान्य घटनाओं का पता लगाने के लिए अलर्ट कॉन्फ़िगर करें।
Actualice OpenClaw a la versión 2026.3.12 o posterior. Configure encryptKey junto con verificationToken para habilitar la verificación adecuada de los webhooks de Feishu.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Feishu Slack के समान एक टीम सहयोग और संचार मंच है।
encryptKey webhook डेटा को एन्क्रिप्ट करके एक अतिरिक्त सुरक्षा परत प्रदान करता है, जिससे घटनाओं को जाली बनाना अधिक कठिन हो जाता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो webhook एंडपॉइंट पर सख्त एक्सेस नियंत्रण लागू करने और संदिग्ध गतिविधि के लिए लॉग की निगरानी करने पर विचार करें।
जांचें कि आपका Feishu webhook कॉन्फ़िगरेशन verificationToken और encryptKey दोनों को कॉन्फ़िगर किया गया है या नहीं।
हालांकि Feishu की जाली घटनाओं का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन लॉग की निगरानी और अलर्ट कॉन्फ़िगरेशन असामान्य गतिविधि की पहचान करने में मदद कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।