平台
nodejs
组件
openclaw
修复版本
2026.3.13
2026.3.13
CVE-2026-32980 是 openclaw 中 Telegram webhook listener 的一个安全漏洞。该漏洞允许未经身份验证的攻击者在验证 x-telegram-bot-api-secret-token 之前,强制服务器读取和缓冲 Telegram webhook 请求正文,从而导致拒绝服务。受影响的版本包括 openclaw <= 2026.3.12。此漏洞已在版本 2026.3.13 中修复。
CVE-2026-32980 在 openclaw 中允许未经验证的攻击者在验证 Telegram API 秘密令牌之前,强制执行高达配置的 webhook body 限制的预身份验证 body I/O 和 JSON 解析工作。这是因为 openclaw 的版本小于或等于 2026.3.12 会在验证 x-telegram-bot-api-secret-token 之前读取和缓冲 Telegram webhook 请求体。攻击者可以利用此漏洞消耗服务器资源,可能导致拒绝服务,或者在 webhook 配置为执行敏感操作的情况下,执行未经授权的操作。
此漏洞对于充当独立 Telegram webhook 的 openclaw 实现来说尤其令人担忧。攻击者可以发送恶意 webhook 请求来耗尽服务器资源,或者潜在地利用 webhook 的逻辑,如果它执行敏感操作。缺乏初始身份验证允许任何人发送请求,从而增加了风险。CVSS 分数 7.5 表示高风险。
漏洞利用状态
EPSS
0.09% (26% 百分位)
CISA SSVC
解决方案是将 openclaw 升级到 2026.3.13 或更高版本。此版本通过在处理 webhook 请求体之前验证 Telegram API 秘密令牌来修复此漏洞。强烈建议立即升级以降低风险。此外,请确保您的 Telegram API 秘密令牌强大且唯一,并安全存储。监控服务器日志中与 webhook 请求相关的异常活动。
Actualice OpenClaw a la versión 2026.3.13 o superior. Esta versión corrige la vulnerabilidad de agotamiento de recursos al validar el encabezado x-telegram-bot-api-secret-token antes de procesar el cuerpo de la solicitud.
漏洞分析和关键警报直接发送到您的邮箱。
Telegram webhook 是 Telegram 向您的应用程序发送更新的一种方式,当发生某些事件(例如新消息或编辑)时。您的应用程序提供一个 URL(webhook),Telegram 将这些数据发送到该 URL。
检查您正在使用的 openclaw 版本。如果版本小于或等于 2026.3.12,则您会受到影响。您可以通过在终端中运行 npm list openclaw 来验证版本。
如果您无法立即升级,请考虑实施临时缓解措施,例如限制 webhook 请求体的最大大小以及监控服务器日志中是否存在异常活动。
目前没有专门用于检测此漏洞的工具。但是,日志监控和 openclaw 版本验证是有效的方法。
CVSS 分数 7.5 表示高风险。这意味着该漏洞可以被利用,并且可能对系统的机密性、完整性或可用性产生重大影响。
CVSS 向量