Katalog CVE

CVE-2026-32924

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OpenClaw przed wersją 2026.3.12 zawiera lukę w autoryzacji, która pozwala na błędną klasyfikację zdarzeń reakcji Feishu z pominiętym chat_type jako rozmowy p2p zamiast czatów grupowych. Ta nieprawidłowość może być wykorzystana przez atakujących do ominięcia zabezpieczeń groupAllowFrom i requireMention w zdarzeniach reakcji czatu grupowego.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do informacji w czatach grupowych, co może prowadzić do wycieku danych lub niepożądanych interakcji w grupach.

Rekomendacja

Zaleca się aktualizację OpenClaw do wersji 2026.3.12 lub nowszej, aby usunąć tę lukę oraz przegląd zabezpieczeń czatów grupowych w celu zminimalizowania ryzyka.

Oryginalny opis (angielski, źródło NVD)

OpenClaw before 2026.3.12 contains an authorization bypass vulnerability where Feishu reaction events with omitted chat_type are misclassified as p2p conversations instead of group chats. Attackers can exploit this misclassification to bypass groupAllowFrom and requireMention protections in group chat reaction-derived events.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS