Vulnerabilidad en OpenClaw (CVE-2026-28395)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/03/2026
Última modificación:
09/03/2026
Descripción
La versión de OpenClaw 2026.1.14-1 anterior a la 2026.2.12 contiene una vulnerabilidad de enlace de red inadecuado en el servidor de retransmisión de la extensión de Chrome (debe estar instalada y habilitada) que trata los hosts comodín como direcciones de bucle invertido, permitiendo que el servidor HTTP/WS de retransmisión se enlace a todas las interfaces cuando se configura una cdpUrl comodín. Los atacantes remotos pueden acceder a los puntos finales HTTP de retransmisión fuera del host para filtrar la presencia del servicio e información del puerto, o realizar ataques de denegación de servicio y de fuerza bruta contra el encabezado del token de retransmisión.
Impacto
Puntuación base 4.0
6.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/openclaw/openclaw/commit/8d75a496bf5aaab1755c56cf48502d967c75a1d0
- https://github.com/openclaw/openclaw/commit/a1e89afcc19efd641c02b24d66d689f181ae2b5c
- https://github.com/openclaw/openclaw/security/advisories/GHSA-qw99-grcx-4pvm
- https://www.vulncheck.com/advisories/openclaw-unintended-public-binding-of-chrome-extension-relay-via-wildcard-cdpurl