प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.3.28
2026.3.28
CVE-2026-33580 OpenClaw में एक दर सीमा की कमी से संबंधित है, जो हमलावरों को कमजोर साझा रहस्यों को ब्रूट-फोर्स करने की अनुमति देता है। इससे समझौता किए गए वेबहुक इवेंट्स हो सकते हैं। यह भेद्यता संस्करण 0–2026.3.28 को प्रभावित करती है और संस्करण 2026.3.28 में ठीक की गई है।
OpenClaw में CVE-2026-33580 Nextcloud Talk के Webhook एकीकरण को प्रभावित करता है। विशेष रूप से, सिस्टम में Webhook हस्ताक्षर सत्यापन विफलताओं के लिए उचित दर सीमित नहीं थी। चूँकि यह एकीकरण ऑपरेटर द्वारा कॉन्फ़िगर किए गए साझा रहस्य पर निर्भर करता है, जो कमजोर हो सकता है, Webhook एंडपॉइंट तक पहुँचने वाले एक हमलावर के पास इस रहस्य को ब्रूट-फ़ोर्स करने का प्रयास हो सकता है। एक बार समझौता होने के बाद, हमलावर आने वाले Webhook घटनाओं को जाली बना सकता है, जिससे Nextcloud Talk का व्यवहार प्रभावित हो सकता है।
एक हमलावर को Nextcloud Talk Webhook एंडपॉइंट तक पहुंच की आवश्यकता होती है। यह गलत तरीके से कॉन्फ़िगर किए गए नेटवर्क, सिस्टम के किसी अन्य घटक में भेद्यता या सोशल इंजीनियरिंग के माध्यम से प्राप्त किया जा सकता है। हमले की प्रभावशीलता उपयोग किए गए साझा रहस्य की ताकत पर निर्भर करती है। एक कमजोर रहस्य को अपेक्षाकृत जल्दी तोड़ा जा सकता है, जबकि एक मजबूत रहस्य को काफी अधिक कंप्यूटिंग प्रयास की आवश्यकता होगी।
Organizations using Nextcloud Talk with webhooks, particularly those relying on weak or default shared secrets for webhook authentication, are at risk. Shared hosting environments where multiple users share the same Nextcloud instance and webhook configurations are also potentially vulnerable.
• nodejs / server: Monitor Nextcloud Talk logs for repeated failed webhook authentication attempts. Look for patterns of requests originating from the same IP address with different signatures.
journalctl -u nextcloud-talk --grep 'webhook authentication failure'• generic web: Check the Nextcloud Talk webhook endpoint for unusual activity using curl or wget. Verify that only expected requests are being received.
curl -v <webhook_url>disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
CISA SSVC
CVSS वेक्टर
इस जोखिम को कम करने के लिए, OpenClaw को संस्करण 2026.3.28 या बाद के संस्करण में अपडेट करने की अनुशंसा की जाती है। इस संस्करण में एक फिक्स शामिल है जो Webhook हस्ताक्षर सत्यापन के खिलाफ ब्रूट-फ़ोर्स हमलों को रोकने के लिए आवश्यक दर सीमित को लागू करता है। इसके अतिरिक्त, Nextcloud Talk एकीकरण को कॉन्फ़िगर करने के लिए मजबूत और यादृच्छिक पासवर्ड या साझा रहस्य का उपयोग करने की सलाह दी जाती है। Nextcloud Talk लॉग की निगरानी असामान्य एक्सेस प्रयासों या Webhook हस्ताक्षर सत्यापन विफलताओं के दोहराव के लिए भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है।
OpenClaw को संस्करण 2026.3.28 या उसके बाद के संस्करण में अपडेट करें। यह संस्करण वेबहुक (Webhook) प्रमाणीकरण पर दर सीमा (Rate Limiting) को लागू करता है, जिससे ब्रूट फोर्स (Brute Force) हमलों का खतरा कम हो जाता है। समाधान के बारे में अधिक जानकारी के लिए सुरक्षा घोषणा और GitHub पर कमिट (Commit) देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Webhook एक तंत्र है जो एक एप्लिकेशन को किसी अन्य एप्लिकेशन को विशिष्ट घटनाओं के बारे में सूचित करने की अनुमति देता है। इस मामले में, Nextcloud Talk अन्य अनुप्रयोगों को जानकारी भेजने के लिए Webhooks का उपयोग करता है।
साझा रहस्य का उपयोग आने वाले Webhooks की प्रामाणिकता को सत्यापित करने के लिए किया जाता है। यह सुनिश्चित करता है कि Webhook घटनाएं एक विश्वसनीय स्रोत से आ रही हैं।
यदि आपको संदेह है कि आपका साझा रहस्य समझौता किया गया है, तो आपको Nextcloud Talk कॉन्फ़िगरेशन में तुरंत इसे बदलना चाहिए और संदिग्ध गतिविधि के लिए लॉग की जांच करनी चाहिए।
OpenClaw को अपडेट करने और मजबूत रहस्यों का उपयोग करने के अलावा, अपने बुनियादी ढांचे की सुरक्षा के लिए फ़ायरवॉल और घुसपैठ का पता लगाने वाले सिस्टम को लागू करने पर विचार करें।
आप OpenClaw दस्तावेज़ों से परामर्श करके या व्यवस्थापन इंटरफ़ेस में संस्करण जानकारी की जांच करके अपने OpenClaw संस्करण को सत्यापित कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।