CVE-2026-32924
KrytyczneStreszczenie
OpenClaw przed wersją 2026.3.12 zawiera lukę w autoryzacji, która pozwala na błędną klasyfikację zdarzeń reakcji Feishu z pominiętym chat_type jako rozmowy p2p zamiast czatów grupowych. Ta nieprawidłowość może być wykorzystana przez atakujących do ominięcia zabezpieczeń groupAllowFrom i requireMention w zdarzeniach reakcji czatu grupowego.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do informacji w czatach grupowych, co może prowadzić do wycieku danych lub niepożądanych interakcji w grupach.
Rekomendacja
Zaleca się aktualizację OpenClaw do wersji 2026.3.12 lub nowszej, aby usunąć tę lukę oraz przegląd zabezpieczeń czatów grupowych w celu zminimalizowania ryzyka.
Oryginalny opis (angielski, źródło NVD)
OpenClaw before 2026.3.12 contains an authorization bypass vulnerability where Feishu reaction events with omitted chat_type are misclassified as p2p conversations instead of group chats. Attackers can exploit this misclassification to bypass groupAllowFrom and requireMention protections in group chat reaction-derived events.

