Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.3.12
2026.3.12
A vulnerabilidade CVE-2026-34505 permite que atacantes burlem as limitações de taxa (rate limits) no OpenClaw. Isso ocorre porque a aplicação de rate limiting só acontece após a autenticação bem-sucedida do webhook, permitindo ataques de força bruta contra os segredos do webhook. Afeta versões do OpenClaw anteriores ou iguais a 2026.3.12. A vulnerabilidade foi corrigida na versão 2026.3.12.
A vulnerabilidade CVE-2026-34505 no OpenClaw afeta o manipulador de webhooks do Zalo. O sistema aplicava a limitação de taxa de solicitação após a autenticação do webhook ser bem-sucedida. Isso significava que as solicitações com um segredo inválido recebiam um erro 401, mas não eram contabilizadas no limite de taxa. Um atacante, portanto, poderia tentar adivinhar o segredo repetidamente sem atingir o limite de 429. Uma vez que o segredo fosse adivinhado corretamente, o atacante poderia enviar tráfego de webhook do Zalo falsificado.
Esta vulnerabilidade é particularmente preocupante porque permite um ataque de força bruta relativamente simples contra os segredos do webhook. Embora os segredos devam ser 'compatíveis com a política' (ou seja, aderir a determinadas políticas de segurança), a falta de limitação de taxa antes da autenticação reduz significativamente a dificuldade de adivinhar um segredo fraco. Uma vez comprometido, um atacante poderia manipular os webhooks do Zalo, o que poderia ter consequências significativas, dependendo da funcionalidade que depende desses webhooks.
Applications utilizing openclaw for Zalo webhook integration, particularly those with weak or easily guessable webhook secrets, are at risk. Shared hosting environments where multiple applications share the same webhook endpoint are also potentially vulnerable, as an attacker could target a single vulnerable application to gain access to others.
• nodejs: Use npm audit to check for vulnerable versions of openclaw. Monitor application logs for repeated 401 errors from webhook requests, which could indicate a brute-force attempt.
npm audit openclaw• generic web: Monitor access logs for a high volume of requests to the Zalo webhook endpoint with 401 status codes. Implement rate limiting on the webhook endpoint to detect and block suspicious activity.
disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação para CVE-2026-34505 é atualizar o OpenClaw para a versão 2026.3.12 ou superior. Esta versão implementa a limitação de taxa antes da autenticação do webhook, impedindo que os atacantes façam um número excessivo de tentativas de adivinhação de segredos. Recomenda-se fortemente atualizar para se proteger contra este risco de segurança. Além disso, recomenda-se usar segredos de webhook robustos e complexos para dificultar ainda mais os ataques de força bruta.
Actualice OpenClaw a la versión 2026.3.12 o posterior. Esta versión implementa la limitación de velocidad antes de la autenticación del webhook, evitando el bypass y los ataques de fuerza bruta.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um webhook do Zalo é uma forma de receber notificações em tempo real do Zalo sobre eventos específicos, como novas mensagens ou atualizações de status. O OpenClaw usa webhooks para interagir com a plataforma Zalo.
Significa que o segredo do webhook deve aderir às políticas de segurança estabelecidas pelo Zalo, como um comprimento mínimo e o uso de caracteres seguros.
Se você já atualizou, é importante revisar as configurações de seus webhooks e garantir que os segredos sejam fortes e complexos o suficiente para resistir a ataques de força bruta.
Sim, considere implementar medidas adicionais, como monitorar a atividade do webhook e restringir o acesso aos endpoints do webhook.
Você pode verificar a versão do OpenClaw consultando a documentação do OpenClaw ou executando um comando de verificação de versão específico do OpenClaw.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.