Vulnerabilidad en OpenClaw (CVE-2026-26319)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
19/02/2026
Última modificación:
20/02/2026
Descripción
OpenClaw es un asistente personal de IA. Las versiones 2026.2.13 e inferiores permiten que el plugin opcional @openclaw/voice-call, gestor de webhooks de Telnyx, acepte solicitudes de webhook entrantes sin firmar cuando telnyx.publicKey no está configurado, lo que permite a los llamantes no autenticados falsificar eventos de Telnyx. Se espera que los webhooks de Telnyx sean autenticados mediante verificación de firma Ed25519. En las versiones afectadas, TelnyxProvider.verifyWebhook() podría fallar de forma abierta (fail open) cuando no se configuró ninguna clave pública de Telnyx, permitiendo que solicitudes HTTP POST arbitrarias al endpoint del webhook de voice-call sean tratadas como eventos legítimos de Telnyx. Esto solo afecta a las implementaciones donde el plugin de Voice Call está instalado, habilitado y el endpoint del webhook es accesible desde el atacante (por ejemplo, expuesto públicamente a través de un túnel/proxy). El problema ha sido solucionado en la versión 2026.2.14.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* | 2026.2.14 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/openclaw/openclaw/commit/29b587e73cbdc941caec573facd16e87d52f007b
- https://github.com/openclaw/openclaw/commit/f47584fec86d6d73f2d483043a2ad0e7e3c50411
- https://github.com/openclaw/openclaw/releases/tag/v2026.2.14
- https://github.com/openclaw/openclaw/security/advisories/GHSA-4hg8-92x6-h2f3