Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.28
2026.3.28
A CVE-2026-33580 descreve uma vulnerabilidade de falta de limitação (rate limiting) no OpenClaw. Um atacante pode explorar essa falha para realizar ataques de força bruta contra segredos compartilhados fracos na autenticação de webhook do Nextcloud Talk. As versões afetadas são OpenClaw anteriores a 2026.3.28. A vulnerabilidade foi corrigida na versão 2026.3.28.
A vulnerabilidade CVE-2026-33580 no OpenClaw afeta a integração do Nextcloud Talk através de webhooks. Especificamente, o sistema não implementava um controle de taxa (rate limiting) adequado para falhas na verificação da assinatura dos webhooks. Como essa integração depende de um segredo compartilhado configurado pelo operador, que pode ser fraco, um atacante que pudesse acessar o endpoint do webhook poderia tentar um ataque de força bruta para decifrar esse segredo. Uma vez comprometido, o atacante poderia falsificar eventos de webhook de entrada, potencialmente manipulando o comportamento do Nextcloud Talk.
Um atacante precisa de acesso ao endpoint do webhook do Nextcloud Talk. Isso pode ser alcançado através de uma configuração de rede incorreta, uma vulnerabilidade em outro componente do sistema ou por meio de engenharia social. A eficácia do ataque depende da força do segredo compartilhado usado. Um segredo fraco pode ser decifrado relativamente rápido, enquanto um forte exigirá um esforço computacional significativamente maior.
Organizations using Nextcloud Talk with webhooks, particularly those relying on weak or default shared secrets for webhook authentication, are at risk. Shared hosting environments where multiple users share the same Nextcloud instance and webhook configurations are also potentially vulnerable.
• nodejs / server: Monitor Nextcloud Talk logs for repeated failed webhook authentication attempts. Look for patterns of requests originating from the same IP address with different signatures.
journalctl -u nextcloud-talk --grep 'webhook authentication failure'• generic web: Check the Nextcloud Talk webhook endpoint for unusual activity using curl or wget. Verify that only expected requests are being received.
curl -v <webhook_url>disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
Para mitigar esse risco, recomenda-se atualizar o OpenClaw para a versão 2026.3.28 ou superior. Esta versão inclui uma correção que implementa o controle de taxa necessário para proteger contra ataques de força bruta na verificação da assinatura dos webhooks. Além disso, é aconselhável usar senhas ou segredos compartilhados robustos e aleatórios para a configuração da integração do Nextcloud Talk. Monitorar os logs do Nextcloud Talk em busca de tentativas de acesso incomuns ou falhas repetidas na verificação de assinaturas também pode ajudar a detectar e responder a possíveis ataques.
Actualice OpenClaw a la versión 2026.3.28 o posterior. Esta versión implementa limitación de velocidad en la autenticación de webhooks, mitigando el riesgo de ataques de fuerza bruta. Consulte el anuncio de seguridad y el commit en GitHub para obtener más detalles sobre la solución.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um webhook é um mecanismo que permite que uma aplicação notifique outra aplicação sobre eventos específicos. Neste caso, o Nextcloud Talk usa webhooks para enviar informações para outras aplicações.
O segredo compartilhado é usado para verificar a autenticidade dos webhooks de entrada. Garante que os eventos do webhook se originem de uma fonte confiável.
Se você suspeitar que seu segredo compartilhado foi comprometido, deve alterá-lo imediatamente na configuração do Nextcloud Talk e revisar os logs em busca de atividade suspeita.
Além de atualizar o OpenClaw e usar segredos fortes, considere implementar firewalls e sistemas de detecção de intrusão para proteger sua infraestrutura.
Você pode verificar sua versão do OpenClaw consultando a documentação do OpenClaw ou verificando as informações de versão na interface de administração.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.