平台
nodejs
组件
openclaw
修复版本
2026.3.12
2026.3.12
CVE-2026-32974 涉及 OpenClaw 的一个安全漏洞,该漏洞允许攻击者绕过身份验证。此漏洞存在于 Feishu webhook 模式中,当未配置 encryptKey 时,攻击者可以注入伪造的事件。该漏洞的潜在影响是触发下游工具的恶意执行。受影响的版本范围是 0 到 2026.3.12,开发人员已在 2026.3.12 版本中修复了此问题。
OpenClaw 中的 CVE-2026-32974 影响到仅配置 verificationToken 而未配置 encryptKey 的 Feishu webhook 实现。 此配置允许恶意行为者通过 Feishu webhook 发送伪造事件。 具有网络访问权限并能够访问 webhook 端点的攻击者可能注入伪造事件、冒充发送者,并可能触发下游工具执行,前提是符合本地代理策略。 缺少加密密钥会削弱加密验证边界,从而便于身份冒充和事件篡改。
攻击者可以通过创建模仿合法事件的伪造 Feishu 事件来利用此漏洞。 通过省略加密密钥,OpenClaw webhook 将在没有适当的加密验证的情况下接受此伪造事件。 这将允许攻击者在 OpenClaw 系统中触发未经授权的操作,例如工具执行或数据修改。 漏洞的易用性取决于 webhook 端点的可访问性以及攻击者创建格式良好的 Feishu 事件的能力。
Organizations using openclaw to integrate Feishu with other tools are at risk. This includes teams relying on automated workflows triggered by Feishu events, particularly those with less stringent security configurations or legacy deployments where webhook settings may have been overlooked.
• nodejs / server:
npm list openclaw• nodejs / server:
grep -r 'verificationToken' /path/to/openclaw/config.js # Check for missing encryptKey• generic web:
curl -I https://your-openclaw-instance/webhook # Check for expected headers (e.g., X-Signature-CA)disclosure
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
为了减轻此漏洞,至关重要的是将 OpenClaw 更新到版本 2026.3.12 或更高版本。此版本通过要求 Feishu webhook 配置同时使用 verificationToken 和 encryptKey 来修复此缺陷。 确保审查并更新您现有的 webhook 配置以符合此要求。 此外,实施严格的访问控制,以限制对 webhook 端点的访问,仅允许授权用户和网络访问。 监控 webhook 日志以查找可疑活动,并配置警报以检测异常事件。
将 OpenClaw 更新到 2026.3.12 或更高版本。 确保将 encryptKey 与 verificationToken 一起配置,以便正确验证飞书 webhook。
漏洞分析和关键警报直接发送到您的邮箱。
Feishu 是一个类似于 Slack 的团队协作和沟通平台。
encryptKey 通过加密 webhook 数据,提供额外的安全层,从而更难以伪造事件。
如果无法立即更新,请考虑对 webhook 端点实施更严格的访问控制,并监控日志以查找可疑活动。
检查您的 Feishu webhook 配置,以确保配置了 verificationToken 和 encryptKey。
虽然没有专门用于检测伪造 Feishu 事件的工具,但监控日志和配置警报可以帮助识别异常活动。
CVSS 向量