UNKNOWNCVE-2026-32980

OpenClaw < 2026.3.13 - 通过未经身份验证的 Telegram Webhook 请求导致资源耗尽

平台

other

组件

openclaw

已修复版本

2026.3.13

OpenClaw 2026.3.13 之前的版本在验证 x-telegram-bot-api-secret-token 标头之前读取并缓冲 Telegram webhook 请求体，允许未经身份验证的攻击者耗尽服务器资源。攻击者可以向 webhook 端点发送 POST 请求，强制内存消耗、套接字时间和 JSON 解析工作，然后再进行身份验证。

修复方法

暂无官方补丁。请查找临时解决方案或持续关注更新。

自动监控您的依赖项

当新漏洞影响您的项目时获得提醒。

免费开始