CVE-2026-32231: Schwachstelle in KI-Assistenten ZeptoClaw ermöglicht Nachrichtenfälschung
⚠️ CVE-Referenzen:
CVE-2026-32231
Zusammenfassung
In der KI-Assistenz-Software ZeptoClaw gab es bis Version 0.7.6 eine Sicherheitslücke, die es Angreifern ermöglichte, Nachrichten unter fremder Identität zu versenden. Da die Authentifizierung standardmäßig deaktiviert war, konnten Schurken mit Zugriff auf den Webhook-Endpunkt beliebige Absender und Chat-IDs fälschen, was zu Identitätsdiebstahl und potenziellem Missbrauch führte. Zum Glück wurde die Schwachstelle mit Version 0.7.6 behoben.
ZeptoClaw is a personal AI assistant. Prior to 0.7.6, the generic webhook channel trusts caller-supplied identity fields (sender, chat_id) from the request body and applies authorization checks to those untrusted values. Because authentication is optional and defaults to disabled (auth_token: None), an attacker who can reach POST /webhook can spoof an allowlisted sender and choose arbitrary chat_id values, enabling high-risk message spoofing and potential IDOR-style session/chat routing abuse. This vulnerability is fixed in 0.7.6.
Quelle: app.opencve.io