GHSA-QCC3-JQWP-5VH2: GHSA-qcc3-jqwp-5vh2: OpenClaw의 LINE Webhook 핸들러를 통한 인증되지 않은 자원 고갈

Source: Dev.to

개요

취약점 ID: GHSA-QCC3-JQWP-5VH2
CVSS 점수: 5.3 (중간)
공개일: 2026-04-02

OpenClaw 개인 AI 어시스턴트 플랫폼에는 LINE 웹훅 핸들러에 자원 고갈 취약점이 존재합니다. 애플리케이션이 인증되지 않은 HTTP POST 요청을 처리하기 전에 동시성 제한을 적용하지 않아, 공격자가 빠른 CPU 및 메모리 사용을 통해 서비스 거부(DoS)를 일으킬 수 있습니다.

기술적 세부 사항

• 영향: 서비스 거부 (가용성)
• 공격 벡터: 네트워크
• 필요 권한: 없음
• 사용자 상호작용: 없음

관련 CWE ID:

• CWE‑400: 통제되지 않은 자원 소비
• CWE‑770: 제한 또는 스로틀링 없이 자원 할당
• CWE‑347: 암호 서명 검증 부적절

취약점은 LINE 웹훅 핸들러가 사전 인증 자원 예산 없이 들어오는 요청을 처리하기 때문에 발생합니다. 인증되지 않은 공격자는 엔드포인트를 대량으로 호출하여 서버가 각 요청마다 비용이 많이 드는 암호 서명 검증을 수행하도록 만들 수 있으며, 이는 Node.js 이벤트 루프의 CPU와 메모리를 고갈시킵니다.

영향을 받는 버전

• openclaw < 2026.3.31
• 수정 버전: 2026.3.31 (커밋 57c47d8)

해결 방법

• LINE 웹훅 핸들러에 대한 사전 인증 동시성 예산을 공유하도록 구현합니다.
• 해당 수정이 포함된 소프트웨어 업데이트를 적용합니다.
• 필요에 따라 /line/webhook 엔드포인트에 대한 리버스 프록시 또는 WAF 레이트 제한을 추가합니다.

완화 단계

1. 환경에 배포된 openclaw 패키지의 버전을 확인합니다.

2. 패키지 관리자를 사용하여 2026.3.31(또는 이후 버전)으로 업그레이드합니다:

   npm install openclaw@2026.3.31

3. 업데이트된 로직이 적용되도록 Node.js 애플리케이션 서버를 재시작합니다.

4. /line/webhook 엔드포인트에서 HTTP 429 응답이 발생하는지 로그를 모니터링하여 제한기가 정상 작동하는지 확인합니다.

참고 자료

• GitHub Advisory
• Snyk Vulnerability DB (실제 링크로 교체)
• GitLab Advisory Database

GHSA‑QCC3‑JQWP‑5VH2에 대한 전체 보고서는 웹사이트에서 확인할 수 있으며, 인터랙티브 다이어그램 및 전체 익스플로잇 분석이 포함되어 있습니다.