Platform
nodejs
Component
openclaw
Opgelost in
2026.3.12
2026.3.12
CVE-2026-32974 is een high-severity authenticatie bypass kwetsbaarheid in OpenClaw. Met een CVSS score van 8.6, maakt deze kwetsbaarheid het mogelijk om forged events te accepteren. Dit kan leiden tot ongeautoriseerde toegang. OpenClaw versies 0 tot en met 2026.3.12 zijn kwetsbaar. De fix is beschikbaar in versie 2026.3.12.
CVE-2026-32974 in OpenClaw treft Feishu webhook-implementaties die alleen verificationToken configureren zonder encryptKey. Deze configuratie stelt kwaadwillende actoren in staat om vervalste gebeurtenissen via de Feishu webhook te verzenden. Een aanvaller met netwerktoegang en de mogelijkheid om het webhook-eindpunt te bereiken, kan vervalste gebeurtenissen injecteren, afzenders nadoen en mogelijk downstream tool-uitvoering activeren, onderhevig aan het lokale agentbeleid. Het ontbreken van de encryptiesleutel verzwakt de cryptografische verificatiegrens, waardoor identiteitsfraude en manipulatie van gebeurtenissen worden vergemakkelijkt.
Een aanvaller kan deze kwetsbaarheid uitbuiten door een vervalste Feishu-gebeurtenis te creëren die een legitieme gebeurtenis nabootst. Door de encryptiesleutel weg te laten, zou de OpenClaw webhook deze vervalste gebeurtenis accepteren zonder de juiste cryptografische verificatie. Dit zou de aanvaller in staat stellen om onbevoegde acties binnen het OpenClaw-systeem te activeren, zoals het uitvoeren van tools of het wijzigen van gegevens. De mate van exploitatie hangt af van de bereikbaarheid van het webhook-eindpunt en het vermogen van de aanvaller om goed opgemaakte Feishu-gebeurtenissen te creëren.
Organizations using openclaw to integrate Feishu with other tools are at risk. This includes teams relying on automated workflows triggered by Feishu events, particularly those with less stringent security configurations or legacy deployments where webhook settings may have been overlooked.
• nodejs / server:
npm list openclaw• nodejs / server:
grep -r 'verificationToken' /path/to/openclaw/config.js # Check for missing encryptKey• generic web:
curl -I https://your-openclaw-instance/webhook # Check for expected headers (e.g., X-Signature-CA)disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
Om deze kwetsbaarheid te mitigeren, is het cruciaal om OpenClaw bij te werken naar versie 2026.3.12 of hoger. Deze versie corrigeert de fout door zowel verificationToken als encryptKey te vereisen voor de Feishu webhook-configuratie. Zorg ervoor dat u uw bestaande webhook-configuraties controleert en bijwerkt om te voldoen aan deze vereiste. Implementeer bovendien strenge toegangscontroles voor het webhook-eindpunt om de toegang tot geautoriseerde gebruikers en netwerken te beperken. Bewaak webhook-logboeken op verdachte activiteiten en configureer waarschuwingen om ongebruikelijke gebeurtenissen te detecteren.
Update OpenClaw naar versie 2026.3.12 of hoger. Zorg ervoor dat u encryptKey configureert samen met verificationToken voor een correcte verificatie van de Feishu webhook.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Feishu is een team samenwerkings- en communicatieplatform dat vergelijkbaar is met Slack.
De encryptKey biedt een extra beveiligingslaag door webhook-gegevens te versleutelen, waardoor het moeilijker wordt om gebeurtenissen te vervalsen.
Als u niet onmiddellijk kunt updaten, overweeg dan om strengere toegangscontroles voor het webhook-eindpunt te implementeren en de logboeken te bewaken op verdachte activiteiten.
Controleer uw Feishu webhook-configuratie om ervoor te zorgen dat zowel verificationToken als encryptKey zijn geconfigureerd.
Hoewel er geen specifieke tools zijn om vervalste Feishu-gebeurtenissen te detecteren, kunnen het bewaken van logboeken en het configureren van waarschuwingen helpen bij het identificeren van ongebruikelijke activiteiten.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.