Vulnerabilidad en OpenClaw (CVE-2026-25253)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-669
Transferencia incorrecta de recursos entre esferas
Fecha de publicación:
01/02/2026
Última modificación:
13/02/2026
Descripción
OpenClaw (también conocido como clawdbot o Moltbot) antes de 2026.1.29 obtiene un valor gatewayUrl de una cadena de consulta y automáticamente establece una conexión WebSocket sin solicitarlo, enviando un valor de token.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* | 2026.1.29 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://depthfirst.com/post/1-click-rce-to-steal-your-moltbot-data-and-keys
- https://ethiack.com/news/blog/one-click-rce-moltbot
- https://github.com/openclaw/openclaw/security/advisories/GHSA-g8p2-7wf7-98mq
- https://openclaw.ai/blog
- https://x.com/0xacb/status/2016913750557651228
- https://depthfirst.com/post/1-click-rce-to-steal-your-moltbot-data-and-keys