Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.12
2026.3.12
CVE-2026-32974 é uma vulnerabilidade de bypass de autenticação no OpenClaw que permite a invasores injetar eventos Feishu falsificados. Isso pode levar à execução de ferramentas downstream não autorizadas. Afeta versões 0–2026.3.12 do OpenClaw. A vulnerabilidade foi corrigida na versão 2026.3.12.
A vulnerabilidade CVE-2026-32974 no OpenClaw afeta implementações de webhook do Feishu que configuram apenas verificationToken sem encryptKey. Essa configuração permite que atacantes maliciosos enviem eventos falsificados através do webhook do Feishu. Um atacante com acesso à rede e a capacidade de alcançar o endpoint do webhook pode injetar eventos falsificados, se passar por remetentes e, potencialmente, acionar a execução de ferramentas subsequentes, sujeitas à política do agente local. A falta da chave de criptografia enfraquece a fronteira de verificação criptográfica, facilitando a suposta identidade e a manipulação de eventos.
Um atacante pode explorar esta vulnerabilidade criando um evento do Feishu falsificado que imite um evento legítimo. Ao omitir a chave de criptografia, o webhook do OpenClaw aceitaria este evento falsificado sem uma verificação criptográfica adequada. Isso permitiria ao atacante acionar ações não autorizadas dentro do sistema OpenClaw, como a execução de ferramentas ou a modificação de dados. A facilidade de exploração depende da acessibilidade do endpoint do webhook e da capacidade do atacante de criar eventos do Feishu bem formatados.
Organizations using openclaw to integrate Feishu with other tools are at risk. This includes teams relying on automated workflows triggered by Feishu events, particularly those with less stringent security configurations or legacy deployments where webhook settings may have been overlooked.
• nodejs / server:
npm list openclaw• nodejs / server:
grep -r 'verificationToken' /path/to/openclaw/config.js # Check for missing encryptKey• generic web:
curl -I https://your-openclaw-instance/webhook # Check for expected headers (e.g., X-Signature-CA)disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
Para mitigar esta vulnerabilidade, é crucial atualizar o OpenClaw para a versão 2026.3.12 ou superior. Esta versão corrige a falha exigindo tanto verificationToken quanto encryptKey para a configuração do webhook do Feishu. Certifique-se de revisar e atualizar suas configurações de webhook existentes para cumprir este requisito. Além disso, implemente controles de acesso estritos ao endpoint do webhook para limitar o acesso a usuários e redes autorizadas. Monitore os logs do webhook em busca de atividades suspeitas e configure alertas para detectar eventos incomuns.
Actualice OpenClaw a la versión 2026.3.12 o posterior. Configure encryptKey junto con verificationToken para habilitar la verificación adecuada de los webhooks de Feishu.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Feishu é uma plataforma de colaboração e comunicação empresarial semelhante ao Slack.
A chave encryptKey fornece uma camada adicional de segurança ao criptografar os dados do webhook, dificultando a falsificação de eventos.
Se não puder atualizar imediatamente, considere implementar controles de acesso mais rígidos ao endpoint do webhook e monitorar os logs em busca de atividades suspeitas.
Revise sua configuração de webhook do Feishu para garantir que tanto verificationToken quanto encryptKey estejam configurados.
Embora não existam ferramentas específicas para detectar eventos falsificados do Feishu, o monitoramento de logs e a configuração de alertas podem ajudar a identificar atividades incomuns.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.