प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.13
2026.3.13
CVE-2026-32980, openclaw के संस्करणों <= 2026.3.12 में एक भेद्यता है, जो x-telegram-bot-api-secret-token को मान्य करने से पहले टेलीग्राम वेबहुक अनुरोध निकायों को पढ़ता और बफर करता है। इससे अनधिकृत हमलावर अनुरोध के अनुसार पूर्व-प्राधिकरण बॉडी I/O और JSON पार्स कार्य की सीमा तक मजबूर कर सकते हैं। यह भेद्यता src/telegram/webhook.ts में मौजूद है। इस समस्या को संस्करण 2026.3.13 में ठीक कर दिया गया है।
CVE-2026-32980 openclaw में, अनधिकृत हमलावरों को Telegram API गुप्त टोकन को मान्य करने से पहले कॉन्फ़िगर किए गए वेबहुक बॉडी सीमा तक प्री-ऑथेंटिकेशन बॉडी I/O और JSON पार्सिंग कार्य को लागू करने की अनुमति मिलती है। ऐसा इसलिए है क्योंकि openclaw के संस्करण 2026.3.12 से कम या उसके बराबर होने पर Telegram वेबहुक अनुरोध बॉडी को पढ़ना और बफर करना पड़ता है, इससे पहले कि x-telegram-bot-api-secret-token को मान्य किया जाए। एक हमलावर इसका उपयोग सर्वर संसाधनों का उपभोग करने, संभावित रूप से सेवा से इनकार करने या, यदि वेबहुक को संवेदनशील संचालन करने के लिए कॉन्फ़िगर किया गया है, तो अनधिकृत कार्रवाई करने के लिए कर सकता है।
यह भेद्यता उन openclaw कार्यान्वयनों के लिए विशेष रूप से चिंताजनक है जो एक स्टैंडअलोन Telegram वेबहुक के रूप में कार्य करते हैं। एक हमलावर सर्वर संसाधनों को समाप्त करने या संभावित रूप से वेबहुक के तर्क का शोषण करने के लिए दुर्भावनापूर्ण वेबहुक अनुरोध भेज सकता है यदि यह संवेदनशील क्रियाएं करता है। प्रारंभिक प्रमाणीकरण की कमी किसी भी व्यक्ति को अनुरोध भेजने की अनुमति देती है, जिससे जोखिम बढ़ जाता है। CVSS स्कोर 7.5 उच्च जोखिम का संकेत देता है।
एक्सप्लॉइट स्थिति
EPSS
0.09% (26% शतमक)
CISA SSVC
CVSS वेक्टर
समाधान openclaw को संस्करण 2026.3.13 या बाद के संस्करण में अपग्रेड करना है। यह संस्करण वेबहुक अनुरोध बॉडी को संसाधित करने से पहले Telegram API गुप्त टोकन को मान्य करके इस भेद्यता को ठीक करता है। जोखिम को कम करने के लिए तत्काल अपग्रेड की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, सुनिश्चित करें कि आपका Telegram API गुप्त टोकन मजबूत और अद्वितीय है, और इसे सुरक्षित रूप से संग्रहीत किया गया है। वेबहुक अनुरोधों से संबंधित सर्वर लॉग में असामान्य गतिविधि की निगरानी करें।
Actualice OpenClaw a la versión 2026.3.13 o superior. Esta versión corrige la vulnerabilidad de agotamiento de recursos al validar el encabezado x-telegram-bot-api-secret-token antes de procesar el cuerpo de la solicitud.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Telegram वेबहुक Telegram के लिए आपके एप्लिकेशन को अपडेट भेजने का एक तरीका है जब कुछ घटनाएं होती हैं, जैसे कि नए संदेश या संपादन। आपका एप्लिकेशन एक URL (वेबहुक) प्रदान करता है जिससे Telegram इन डेटा को भेजता है।
आप जिस openclaw संस्करण का उपयोग कर रहे हैं, उसकी जांच करें। यदि यह 2026.3.12 से कम या उसके बराबर है, तो आप प्रभावित हैं। आप अपने टर्मिनल में npm list openclaw चलाकर संस्करण सत्यापित कर सकते हैं।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो अस्थायी शमन उपायों को लागू करने पर विचार करें, जैसे कि वेबहुक अनुरोध बॉडी के अधिकतम आकार को सीमित करना और सर्वर लॉग में असामान्य गतिविधि की निगरानी करना।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। हालाँकि, लॉग निगरानी और openclaw संस्करण सत्यापन प्रभावी तरीके हैं।
CVSS स्कोर 7.5 उच्च जोखिम का संकेत देता है। इसका मतलब है कि भेद्यता का शोषण किया जा सकता है और सिस्टम की गोपनीयता, अखंडता या उपलब्धता पर महत्वपूर्ण प्रभाव पड़ सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।