OpenClaw < 2026.3.12 - पूर्व-प्रमाणीकरण गुप्त सत्यापन के माध्यम से वेबहुक दर सीमित बाईपास

OpenClaw में CVE-2026-34505 Zalo webhook हैंडलर को प्रभावित करता है। सिस्टम ने webhook प्रमाणीकरण सफल होने के बाद अनुरोध दर सीमित कर दी। इसका मतलब है कि अमान्य कुंजी वाले अनुरोधों को 401 त्रुटि मिलेगी, लेकिन उन्हें दर लिमिटर में नहीं गिना जाएगा। इसलिए, एक हमलावर 429 सीमा तक पहुंचने के बिना बार-बार कुंजी का अनुमान लगा सकता है। एक बार कुंजी का सही अनुमान लग जाने पर, हमलावर नकली Zalo webhook ट्रैफ़िक जमा कर सकता है।

Applications utilizing openclaw for Zalo webhook integration, particularly those with weak or easily guessable webhook secrets, are at risk. Shared hosting environments where multiple applications share the same webhook endpoint are also potentially vulnerable, as an attacker could target a single vulnerable application to gain access to others.

• nodejs: Use npm audit to check for vulnerable versions of openclaw. Monitor application logs for repeated 401 errors from webhook requests, which could indicate a brute-force attempt.

npm audit openclaw

• generic web: Monitor access logs for a high volume of requests to the Zalo webhook endpoint with 401 status codes. Implement rate limiting on the webhook endpoint to detect and block suspicious activity.

1. 2026-03-13Disclosure

   disclosure

1. आरक्षित2026-03-30
2. प्रकाशित2026-03-13
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-07

CVE-2026-34505 के लिए शमन OpenClaw को संस्करण 2026.3.12 या बाद के संस्करण में अपडेट करना है। यह संस्करण webhook प्रमाणीकरण से पहले दर सीमित करता है, जिससे हमलावरों को कुंजी का अनुमान लगाने के प्रयासों की संख्या को अत्यधिक होने से रोका जा सकता है। इस सुरक्षा जोखिम से खुद को बचाने के लिए अपडेट करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, ब्रूट-फोर्स हमलों को और मुश्किल बनाने के लिए मजबूत और जटिल webhook कुंजियों का उपयोग करने की सिफारिश की जाती है।