2026西湖龙井茶官网DTC发售:茶农直供,政府溯源防伪到农户家
GHSA-qcc3-jqwp-5vh2:通过 OpenClaw 中的 LINE Webhook 处理器导致的未经身份验证的资源耗尽漏洞
漏洞编号: GHSA-QCC3-JQWP-5VH2
CVSS 评分: 5.3
发布日期: 2026-04-02
OpenClaw 个人人工智能助手平台在其 LINE Webhook 处理器中存在资源耗尽漏洞。应用程序在处理未经身份验证的 HTTP POST 请求之前未实施并发限制,攻击者可通过快速消耗 CPU 和内存资源,导致拒绝服务(DoS)。
简要说明
未经身份验证的攻击者可通过向 LINE Webhook 处理器发送高并发请求,在 OpenClaw 中触发严重的拒绝服务。由于缺少身份验证前的资源配额机制,服务器在执行加密签名验证时会耗尽内存和 CPU 资源。
技术细节
- CWE 编号:CWE-400、CWE-770、CWE-347
- 攻击向量:网络
- CVSS 评分:5.3(中危)
- 所需权限:无
- 用户交互:无
- 影响:拒绝服务(可用性)
受影响系统
- OpenClaw 应用服务器
- Node.js 事件循环
- LINE Webhook 集成
-
openclaw:< 2026.3.31(已在
2026.3.31版本修复)
代码分析
提交记录:57c47d8
修复内容:为 LINE Webhook 处理器实现共享的身份验证前并发配额机制
缓解策略
- 软件更新
- 反向代理速率限制
- Web 应用防火墙(WAF)速率限制
修复步骤:
- 确认应用环境中部署的
openclaw软件包版本。 - 通过包管理器将依赖项升级至
2026.3.31版本(npm install openclaw@2026.3.31)。 - 重启 Node.js 应用服务器以应用更新后的逻辑。
- 监控应用程序日志,检查
/line/webhook端点是否返回 HTTP 429 响应,以验证限流机制是否正常工作。
参考资料
访问我们的网站阅读 GHSA-QCC3-JQWP-5VH2 的完整报告,获取包含交互式图表和完整利用分析的更多详情。
免责声明:本文内容来自互联网,该文观点不代表本站观点。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请到页面底部单击反馈,一经查实,本站将立刻删除。
