OpenClaw before 2026.3.28 contains a webhook replay vulnerability in Plivo V3 signature verification that canonicalizes query ordering for signatures but hashes raw URLs for replay detection. Attackers can reorder query parameters to bypass replay cache detection and trigger duplicate voice-call processing with a captured valid signed webhook.
OpenClaw before version 2026.3.28 contains a webhook replay vulnerability in Plivo V3 signature verification that allows attackers to bypass replay cache detection by reordering query parameters. This vulnerability enables attackers to trigger duplicate voice-call processing using captured valid signed webhooks, potentially causing service disruption and unauthorized call charges.
تحتوي ثغرة OpenClaw على عدم تطابق في معالجة معاملات الاستعلام حيث يتم تطبيع الترتيب للتوقيع ولكن يتم تجزئة عناوين URL الخام لكشف الإعادة. يمكن للمهاجمين الذين يمتلكون webhook موقع صحيح إعادة ترتيب المعاملات لتجاوز الكشف عن الإعادة وتشغيل معالجة مكررة للمكالمات الصوتية. قد يؤدي هذا إلى فواتير غير مصرح بها ورسوم مكالمات مضاعفة.
OpenClaw قبل الإصدار 2026.3.28 يحتوي على ثغرة إعادة تشغيل webhook في التحقق من توقيع Plivo V3 تسمح للمهاجمين بتجاوز كشف ذاكرة التخزين المؤقت للإعادة. تمكن هذه الثغرة المهاجمين من تشغيل معالجة مكررة للمكالمات الصوتية باستخدام webhooks موقعة صحيحة تم التقاطها.
Upgrade OpenClaw to version 2026.3.28 or later immediately. Implement additional replay detection mechanisms that hash canonicalized query parameters consistently. Deploy rate limiting on webhook endpoints and implement strict parameter validation. Monitor webhook processing logs for suspicious duplicate requests with reordered parameters.
قم بترقية OpenClaw إلى الإصدار 2026.3.28 أو أحدث على الفور. قم بتنفيذ آليات كشف إعادة تشغيل إضافية تقوم بتجزئة معاملات الاستعلام الموحدة بشكل متسق. قم بنشر تحديد معدل على نقاط نهاية webhook وتنفيذ التحقق الصارم من المعاملات. راقب سجلات معالجة webhook للطلبات المكررة المريبة مع معاملات معاد ترتيبها.