プラットフォーム
nodejs
コンポーネント
openclaw
修正版
2026.3.13
2026.3.13
CVE-2026-32980は、openclawのTelegram webhookリスナーにおけるDoS脆弱性です。認証されていない攻撃者が、webhookリクエストのbodyサイズ制限までI/O処理を強制し、JSON解析処理を悪用できます。この脆弱性は、openclawのバージョン2026.3.12以前に影響します。バージョン2026.3.13で修正されています。
CVE-2026-32980 は、openclaw において、認証されていない攻撃者が Telegram API シークレットトークンを検証する前に、設定された Webhook ボディの制限まで、事前認証のボディ I/O と JSON 解析作業を強制することを可能にします。これは、openclaw のバージョンが 2026.3.12 以下の場合、Telegram Webhook リクエストボディを読み込み、バッファリングしてから x-telegram-bot-api-secret-token を検証するためです。攻撃者はこれを悪用してサーバーリソースを消費し、サービス拒否を引き起こしたり、Webhook が機密性の高い操作を実行するように構成されている場合、不正な操作を実行したりする可能性があります。
この脆弱性は、スタンドアロンの Telegram Webhook として機能する openclaw の実装にとって特に懸念されます。攻撃者は悪意のある Webhook リクエストを送信してサーバーリソースを枯渇させたり、Webhook のロジックを悪用して機密性の高い操作を実行したりする可能性があります。初期の認証がないため、誰でもリクエストを送信でき、リスクが高まります。CVSS スコア 7.5 は、高いリスクを示しています。
エクスプロイト状況
EPSS
0.09% (26% パーセンタイル)
CISA SSVC
解決策は、openclaw をバージョン 2026.3.13 以降にアップグレードすることです。このバージョンは、Webhook リクエストボディを処理する前に Telegram API シークレットトークンを検証することで、この脆弱性を修正します。リスクを軽減するために、迅速なアップグレードを強くお勧めします。さらに、Telegram API シークレットトークンが強力で一意であり、安全に保管されていることを確認してください。Webhook リクエストに関連するサーバーログで異常なアクティビティを監視してください。
Actualice OpenClaw a la versión 2026.3.13 o superior. Esta versión corrige la vulnerabilidad de agotamiento de recursos al validar el encabezado x-telegram-bot-api-secret-token antes de procesar el cuerpo de la solicitud.
脆弱性分析と重要アラートをメールでお届けします。
Telegram Webhook は、Telegram が特定のイベント(新しいメッセージや編集など)が発生したときに、アプリケーションに更新を送信する方法です。アプリケーションは URL(Webhook)を提供し、Telegram はこのデータを送信します。
使用している openclaw のバージョンを確認してください。バージョンが 2026.3.12 以下の場合、影響を受けています。ターミナルで npm list openclaw を実行してバージョンを確認できます。
すぐにアップグレードできない場合は、Webhook リクエストボディの最大サイズを制限したり、サーバーログで異常なアクティビティを監視したりするなど、一時的な軽減策を実装することを検討してください。
現在、この脆弱性を検出するための特定のツールはありません。ただし、ログ監視と openclaw のバージョン検証は効果的な方法です。
CVSS スコア 7.5 は、高いリスクを示しています。これは、脆弱性が悪用可能であり、システム機密性、完全性、または可用性に重大な影響を与える可能性があることを意味します。
CVSS ベクトル