HIGHCVE-2026-32974CVSS 8.6

OpenClaw < 2026.3.12 - Feishu Webhook Verification Token を介した偽造イベントインジェクション

Q: CVE-2026-32974 とは何ですか？（openclaw）

Feishu は Slack に似たチームコラボレーションおよびコミュニケーションプラットフォームです。

Q: openclaw の CVE-2026-32974 による影響を受けていますか？

`encryptKey` は、Webhook データを暗号化することで、追加のセキュリティレイヤーを提供し、イベントの偽造をより困難にします。

Q: openclaw の CVE-2026-32974 を修正するにはどうすればよいですか？

すぐに更新できない場合は、Webhook エンドポイントへのアクセス制御を厳しくし、疑わしい活動がないかログを監視することを検討してください。

Q: CVE-2026-32974 は積極的に悪用されていますか？

Feishu Webhook 構成を確認して、`verificationToken` と `encryptKey` の両方が構成されていることを確認してください。

Q: CVE-2026-32974 に関する openclaw の公式アドバイザリはどこで確認できますか？

Feishu の偽のイベントを検出するための特定のツールはありませんが、ログの監視とアラート構成により、異常な活動を特定するのに役立ちます。

プラットフォーム

nodejs

コンポーネント

openclaw

修正版

2026.3.12

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32974 は、OpenClaw の Feishu ウェブフックモードに存在する認証バイパスの脆弱性です。この脆弱性により、攻撃者は偽造された Feishu イベントを注入できます。影響を受けるバージョンは、0–2026.3.12 です。この問題は、バージョン 2026.3.12 で修正されました。

影響と攻撃シナリオ

OpenClaw の CVE-2026-32974 は、verificationToken のみで encryptKey を設定しない Feishu Webhook 実装に影響を与えます。この構成により、悪意のある攻撃者は Feishu Webhook を通じて偽のイベントを送信できます。ネットワークアクセスと Webhook エンドポイントにアクセスできる攻撃者は、偽のイベントを注入し、送信者をなりすまし、ローカルエージェントポリシーの範囲内で、ダウンストリームのツール実行をトリガーする可能性があります。暗号化キーがないと、暗号化検証境界が弱まり、なりすましとイベントの操作が容易になります。

悪用の状況

攻撃者は、正規のイベントを模倣した偽の Feishu イベントを作成することで、この脆弱性を悪用できます。暗号化キーを省略すると、OpenClaw Webhook は適切な暗号化検証なしにこの偽のイベントを受け入れます。これにより、攻撃者は OpenClaw システム内で、ツール実行やデータ変更など、不正なアクションをトリガーできます。悪用のしやすさは、Webhook エンドポイントへのアクセス可能性と、攻撃者が適切にフォーマットされた Feishu イベントを作成できるかどうかに依存します。

リスク対象者翻訳中…

Organizations using openclaw to integrate Feishu with other tools are at risk. This includes teams relying on automated workflows triggered by Feishu events, particularly those with less stringent security configurations or legacy deployments where webhook settings may have been overlooked.

検出手順翻訳中…

• nodejs / server:

  npm list openclaw

• nodejs / server:

  grep -r 'verificationToken' /path/to/openclaw/config.js # Check for missing encryptKey

• generic web:

  curl -I https://your-openclaw-instance/webhook # Check for expected headers (e.g., X-Signature-CA)

攻撃タイムライン

2026-03-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.06% (18% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントopenclaw

ベンダーosv

影響範囲修正版

0 – 2026.3.122026.3.12

—2026.3.12

弱点分類 (CWE)

CWE-347

タイムライン

予約済み2026-03-17
公開日2026-03-13
更新日2026-04-06
EPSS 更新日2026-04-06

緩和策と回避策

この脆弱性を軽減するには、OpenClaw をバージョン 2026.3.12 以降に更新することが重要です。このバージョンは、Feishu Webhook 構成に verificationToken と encryptKey の両方を要求することで、この欠陥を修正します。既存の Webhook 構成を確認および更新して、この要件に準拠していることを確認してください。さらに、承認されたユーザーとネットワークへのアクセスを制限するために、Webhook エンドポイントへの厳格なアクセス制御を実装します。Webhook ログを監視して疑わしい活動を検出し、異常なイベントを検出するためのアラートを設定します。

修正方法

OpenClaw をバージョン 2026.3.12 以降にアップデートしてください。 Feishu の webhook を適切に検証するために、verificationToken とともに encryptKey を設定してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32974 とは何ですか？（openclaw）