CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32924

Critical
Published: Translated: NVD NIST

Summary

OpenClaw przed wersją 2026.3.12 zawiera lukę w autoryzacji, która pozwala na błędną klasyfikację zdarzeń reakcji Feishu z pominiętym chat_type jako rozmowy p2p zamiast czatów grupowych. Ta nieprawidłowość może być wykorzystana przez atakujących do ominięcia zabezpieczeń groupAllowFrom i requireMention w zdarzeniach reakcji czatu grupowego.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowany dostęp do informacji w czatach grupowych, co może prowadzić do wycieku danych lub niepożądanych interakcji w grupach.

Recommendation

Zaleca się aktualizację OpenClaw do wersji 2026.3.12 lub nowszej, aby usunąć tę lukę oraz przegląd zabezpieczeń czatów grupowych w celu zminimalizowania ryzyka.

Original NVD description (English source)

OpenClaw before 2026.3.12 contains an authorization bypass vulnerability where Feishu reaction events with omitted chat_type are misclassified as p2p conversations instead of group chats. Attackers can exploit this misclassification to bypass groupAllowFrom and requireMention protections in group chat reaction-derived events.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS