Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.13
2026.3.13
A vulnerabilidade CVE-2026-32980 é um ataque de negação de serviço (DoS) presente no componente openclaw. Essa falha permite que invasores não autenticados causem consumo excessivo de recursos, afetando a disponibilidade do serviço. As versões afetadas são as anteriores ou iguais à 2026.3.12. A vulnerabilidade foi corrigida na versão 2026.3.13.
A vulnerabilidade CVE-2026-32980 em openclaw permite que atacantes não autenticados forcem operações de entrada/saída e análise JSON significativas antes da validação do token secreto da API do Telegram. Isso ocorre porque as versões do openclaw anteriores ou iguais a 2026.3.12 leem e armazenam em buffer o corpo das solicitações webhook do Telegram antes de verificar o token x-telegram-bot-api-secret-token. Um atacante pode explorar isso para consumir recursos do servidor, potencialmente causando uma negação de serviço ou, em cenários mais complexos, para realizar ações não autorizadas se o webhook estiver configurado para executar operações sensíveis.
Esta vulnerabilidade é particularmente preocupante para implementações do openclaw que atuam como um webhook do Telegram independente. Um atacante pode enviar solicitações webhook maliciosas para esgotar os recursos do servidor ou, potencialmente, explorar a lógica do webhook se ele executar ações sensíveis. A falta de autenticação inicial permite que qualquer pessoa envie solicitações, aumentando o risco. A pontuação CVSS de 7,5 indica um alto risco.
Status do Exploit
EPSS
0.09% (percentil 26%)
CISA SSVC
Vetor CVSS
A solução é atualizar para a versão 2026.3.13 ou posterior do openclaw. Esta versão corrige a vulnerabilidade validando o token secreto da API do Telegram antes de processar o corpo da solicitação webhook. A atualização imediata é fortemente recomendada para mitigar o risco. Além disso, certifique-se de que seu token secreto da API do Telegram seja forte e exclusivo e armazenado com segurança. Monitore os logs do servidor em busca de atividades incomuns relacionadas a solicitações webhook.
Actualice OpenClaw a la versión 2026.3.13 o superior. Esta versión corrige la vulnerabilidad de agotamiento de recursos al validar el encabezado x-telegram-bot-api-secret-token antes de procesar el cuerpo de la solicitud.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um webhook do Telegram é uma forma de o Telegram enviar atualizações para o seu aplicativo quando certos eventos ocorrem, como novas mensagens ou edições. Seu aplicativo fornece uma URL (o webhook) para a qual o Telegram envia esses dados.
Verifique a versão do openclaw que você está usando. Se for anterior ou igual a 2026.3.12, você estará afetado. Você pode verificar a versão executando npm list openclaw no seu terminal.
Se não puder atualizar imediatamente, considere implementar medidas de mitigação temporárias, como limitar o tamanho máximo do corpo da solicitação webhook e monitorar os logs do servidor em busca de atividades incomuns.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade. No entanto, o monitoramento de logs e a verificação da versão do openclaw são métodos eficazes.
Uma pontuação CVSS de 7,5 indica um alto risco. Isso significa que a vulnerabilidade é explorável e pode ter um impacto significativo na confidencialidade, integridade ou disponibilidade do sistema.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.