anonhaven

CVE-2026-35665

MEDIUM CVSS 4.0: 6,9 EPSS 0.08%
Обновлено 10 апреля 2026
OpenClaw
Параметр Значение
CVSS 6,9 (MEDIUM)
Уязвимые версии до 2026.3.24
Тип уязвимости CWE-405
Поставщик OpenClaw
Публичный эксплойт Нет

OpenClaw до 2026.3.24 содержит неполное исправление CVE-2026-32011, из-за которого обработчик веб-перехватчика Feishu принимает тела запросов с допустимыми ограничениями в 1 МБ и 30-секундным тайм-аутом перед проверкой подписи. Злоумышленник, не прошедший проверку подлинности, может исчерпать ресурсы подключения к серверу, отправляя одновременные медленные запросы HTTP POST к конечной точке веб-перехватчика Feishu, блокируя законную доставку веб-перехватчика.

Показать оригинальное описание (EN)

OpenClaw before 2026.3.24 contains an incomplete fix for CVE-2026-32011 where the Feishu webhook handler accepts request bodies with permissive limits of 1MB and 30-second timeout before signature verification. An unauthenticated attacker can exhaust server connection resources by sending concurrent slow HTTP POST requests to the Feishu webhook endpoint, blocking legitimate webhook deliveries.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-405

Ссылки 2

https://github.com/openclaw/openclaw/security/advisories/GHSA-w6m8-cqvj-pg5v
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/openclaw-denial-of-service-via-feishu-webh…
disclosure@vulncheck.com
Share Post Share Share Share