Vulnerabilidad en OpenClaw Gateway tool allowed unrestricted gatewayUrl override (CVE-2026-26322)

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14 de OpenClaw, la herramienta Gateway aceptaba una 'gatewayUrl' proporcionada por la herramienta sin restricciones suficientes, lo que podría hacer que el host de OpenClaw intentara conexiones WebSocket salientes a objetivos especificados por el usuario. Esto requiere la capacidad de invocar herramientas que acepten anulaciones de 'gatewayUrl' (directa o indirectamente). En configuraciones típicas, esto se limita a operadores autenticados, automatización de confianza o entornos donde las llamadas a herramientas están expuestas a no operadores. En otras palabras, esto no es un problema de ataque al paso para usuarios de internet arbitrarios a menos que una implementación permita explícitamente a usuarios no confiables activar estas llamadas a herramientas. Algunas rutas de llamada a herramientas permitían que las anulaciones de 'gatewayUrl' fluyeran hacia el cliente WebSocket de Gateway sin validación o inclusión en lista blanca. Esto significaba que se podía instruir al host para que intentara conexiones a puntos finales que no fueran de gateway (por ejemplo, servicios de localhost, direcciones de red privadas o IPs de metadatos en la nube). En el caso común, esto resulta en un intento de conexión saliente desde el host de OpenClaw (y los errores/tiempos de espera correspondientes). En entornos donde el invocador de la herramienta puede observar los resultados, esto también puede usarse para sondeos limitados de accesibilidad de red. Si el objetivo habla WebSocket y es alcanzable, una interacción adicional puede ser posible. A partir de la versión 2026.2.14, las anulaciones de 'gatewayUrl' proporcionadas por la herramienta están restringidas a loopback (en el puerto de gateway configurado) o a la 'gateway.remote.url' configurada. Protocolos no permitidos, credenciales, consulta/hash y rutas no raíz son rechazados.