Vulnerabilidades

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.15, OpenClaw incrustaba el directorio de trabajo actual (ruta del espacio de trabajo) en el prompt del sistema del agente sin saneamiento. Si un atacante puede hacer que OpenClaw se ejecute dentro de un directorio cuyo nombre contiene caracteres de control/formato (por ejemplo, saltos de línea o marcadores Unicode bidireccionales/de ancho cero), esos caracteres podrían romper la estructura del prompt e inyectar instrucciones controladas por el atacante. A partir de la versión 2026.2.15, la ruta del espacio de trabajo se sanea antes de incrustarse en cualquier salida de prompt de LLM, eliminando caracteres de control/formato Unicode y separadores explícitos de línea/párrafo. La resolución de la ruta del espacio de trabajo también aplica el mismo saneamiento como defensa en profundidad.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.15, un problema de inyección de configuración en el sandbox de la herramienta Docker podría permitir que opciones peligrosas de Docker (montajes de enlace, redes de host, perfiles no confinados) se aplicaran, permitiendo el escape del contenedor o el acceso a datos del host. OpenClaw 2026.2.15 bloquea configuraciones peligrosas de Docker del sandbox e incluye aplicación en tiempo de ejecución al construir argumentos de `docker create`; validación de esquema de configuración para `network=host`, `seccompProfile=unconfined`, `apparmorProfile=unconfined`; y hallazgos de auditoría de seguridad para revelar configuraciones peligrosas de Docker del sandbox. Como solución alternativa, no configure `agents.*.sandbox.docker.binds` para montar directorios del sistema o rutas de socket de Docker, mantenga `agents.*.sandbox.docker.network` en `none` (predeterminado) o `bridge`, y no use `unconfined` para perfiles de seccomp/AppArmor.

OpenClaw es un asistente personal de IA. Los tokens de bot de Telegram pueden aparecer en mensajes de error y rastreos de pila (por ejemplo, cuando las URL de solicitud incluyen 'https://api.telegram.org/bot/...'). Antes de la versión 2026.2.15, OpenClaw registraba estas cadenas sin censura, lo que podría filtrar el token del bot en registros, informes de fallos, salida de CI o paquetes de soporte. La divulgación de un token de bot de Telegram permite a un atacante suplantar la identidad del bot y tomar el control del acceso a la API del Bot. Los usuarios deben actualizar a la versión 2026.2.15 para obtener una solución y rotar el token del bot de Telegram si pudo haber sido expuesto.

Windmill es una plataforma de desarrollo de código abierto para código interno: APIs, trabajos en segundo plano, flujos de trabajo e interfaces de usuario. Las versiones 1.634.6 y anteriores permiten a los usuarios no administradores obtener secretos de cliente de Slack OAuth, que solo deberían ser accesibles para los administradores del espacio de trabajo. El endpoint GET /api/w/{workspace}/workspaces/get_settings devuelve el slack_oauth_client_secret a cualquier miembro autenticado del espacio de trabajo, independientemente de su estado de administrador. Es un comportamiento esperado que los usuarios no administradores vean una versión redactada de la configuración del espacio de trabajo, ya que algunos de ellos son necesarios para que el frontend se comporte correctamente incluso para los no administradores. Sin embargo, la configuración de Slack no debería ser visible para los no administradores. Este es un problema heredado donde la configuración se almacenaba como un valor sin formato en lugar de usar la indirección de $variable, y nunca se añadió a la lógica de redacción. Este problema ha sido solucionado en la versión 1.635.0.

ADB Explorer es una interfaz de usuario fluida para ADB en Windows. Las versiones 0.9.26020 e inferiores no validan la integridad o autenticidad de la ruta del binario de ADB especificada en la configuración ManualAdbPath antes de ejecutarlo, lo que permite la ejecución de código arbitrario con los privilegios del usuario actual. Un atacante puede explotar esto creando un archivo de configuración App.txt malicioso que apunte ManualAdbPath a un ejecutable arbitrario, y luego convenciendo a una víctima para que inicie la aplicación con un argumento de línea de comandos que la dirija al directorio de configuración malicioso. Esta vulnerabilidad podría ser aprovechada mediante tácticas de ingeniería social, como la distribución de un acceso directo empaquetado con un archivo de configuración manipulado en un archivo comprimido, lo que resultaría en RCE al iniciar la aplicación. Este problema ha sido solucionado en la versión 0.9.26021.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, los atacantes autenticados pueden leer archivos arbitrarios del host Gateway proporcionando rutas absolutas o secuencias de salto de ruta a la acción 'upload' de la herramienta del navegador. El servidor pasó estas rutas a las API 'setInputFiles()' de Playwright sin restringirlas a una raíz segura. Un atacante debe alcanzar la superficie HTTP del Gateway (o invocar de otro modo los mismos puntos finales de gancho de control del navegador); presentar autenticación Gateway válida (token de portador / contraseña), según lo requiera la configuración del Gateway (En configuraciones predeterminadas comunes, el Gateway se enlaza a loopback y el asistente de incorporación genera un token de gateway incluso para loopback); y tener la herramienta 'browser' permitida por la política de herramientas para la sesión/contexto objetivo (y tener el soporte del navegador habilitado). Si un operador expone el Gateway más allá de loopback (LAN/tailnet/enlace personalizado, proxy inverso, túneles, etc.), el impacto aumenta en consecuencia. A partir de la versión 2026.2.14, las rutas de carga ahora están confinadas a la raíz de cargas temporales de OpenClaw ('DEFAULT_UPLOAD_DIR') y las rutas de salto/escape son rechazadas.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, bajo iMessage 'groupPolicy=allowlist', la autorización de grupo podía ser satisfecha por identidades de remitente provenientes del almacén de emparejamiento de DM, ampliando la confianza de DM a contextos de grupo. La versión 2026.2.14 corrige el problema.

Libredesk es una aplicación de mesa de ayuda al cliente autoalojada. Las versiones anteriores a la 1.0.2-0.20260215211005-727213631ce6 no validan las URL de destino para los webhooks, permitiendo a un atacante que se hace pasar por un 'Administrador de Aplicación' autenticado forzar al servidor a realizar solicitudes HTTP a destinos internos arbitrarios. Esto podría comprometer la infraestructura de nube subyacente o la red corporativa interna donde se aloja el servicio. Este problema ha sido solucionado en la versión 1.0.2-0.20260215211005-727213631ce6.

Tanium abordó una vulnerabilidad de inserción de información sensible en archivo de registro en Trends.

OpenClaw es un asistente personal de IA. Las balizas de descubrimiento (Bonjour/mDNS y DNS-SD) incluyen registros TXT como 'lanHost', 'tailnetDns', 'gatewayPort' y 'gatewayTlsSha256'. Los registros TXT no están autenticados. Antes de la versión 2026.2.14, algunos clientes trataban los valores TXT como entradas autoritativas de enrutamiento/fijación. iOS y macOS usaban las sugerencias de host ('lanHost'/'tailnetDns') y los puertos ('gatewayPort') proporcionados por TXT para construir la URL de conexión. iOS y Android permitían que la huella digital TLS ('gatewayTlsSha256') proporcionada por el descubrimiento anulara una fijación TLS previamente almacenada. En una LAN compartida/no confiable, un atacante podría anunciar un servicio '_openclaw-gw._tcp' malicioso. Esto podría hacer que un cliente se conectara a un punto final controlado por un atacante y/o aceptara un certificado de atacante, potencialmente exfiltrando credenciales de Gateway ('auth.token' / 'auth.password') durante la conexión. En el momento de la publicación, las aplicaciones de iOS y Android están en fase alfa/no se han distribuido ampliamente (sin lanzamiento público en App Store / Play Store). El impacto práctico se limita principalmente a desarrolladores/probadores que ejecutan esas compilaciones, además de cualquier otro cliente distribuido que dependa del descubrimiento en una LAN compartida/no confiable. La versión 2026.2.14 corrige el problema. Los clientes ahora prefieren el punto final de servicio resuelto (SRV + A/AAAA) sobre las sugerencias de enrutamiento proporcionadas por TXT. Las huellas digitales proporcionadas por el descubrimiento ya no anulan las fijaciones TLS almacenadas. En iOS/Android, las fijaciones TLS por primera vez requieren confirmación explícita del usuario (huella digital mostrada; sin TOFU silencioso) y las conexiones directas basadas en descubrimiento son solo TLS. En Android, la verificación de nombre de host ya no está deshabilitada globalmente (solo se omite al fijar).

La Interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores de internet a nivel de red. Las versiones 6.0 y superiores tienen una vulnerabilidad de inyección HTML almacenada en la tabla de sesiones activas ubicada en la página de configuración de la API, permitiendo a un atacante con credenciales válidas inyectar código HTML arbitrario que se renderizará en el navegador de cualquier administrador que visite la página de sesiones activas. La función rowCallback contiene el valor data.x_forwarded_for, que se concatena directamente en una cadena HTML y se inserta en el DOM utilizando el método .html() de jQuery. Este método interpreta el contenido como HTML, lo que significa que cualquier etiqueta HTML presente en el valor será analizada y renderizada por el navegador. Un atacante puede usar herramientas comunes como curl, wget, Python requests, Burp Suite, o incluso JavaScript fetch() para enviar una solicitud de autenticación con una cabecera X-Forwarded-For que contiene código HTML malicioso en lugar de una dirección IP legítima. Dado que Pi-hole implementa una Política de Seguridad de Contenido (CSP) que bloquea JavaScript en línea, el impacto se limita a la inyección de HTML puro sin la capacidad de ejecutar scripts. Este problema ha sido solucionado en la versión 6.4.1.

La Interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores de internet a nivel de red. Las versiones 6.4 e inferiores son vulnerables a la inyección de HTML almacenado a través de la página de configuración de registros DNS locales, lo que permite a un administrador autenticado inyectar código que se almacena en la configuración de Pi-hole y se renderiza cada vez que se visualiza la tabla de registros DNS. La función populateDataTable() contiene una variable de datos con el valor completo del registro DNS exactamente como lo introdujo el usuario y devuelto por la API. Este valor se inserta directamente en el atributo HTML data-tag sin ningún escape o sanitización de caracteres especiales. Cuando un atacante proporciona un valor que contiene comillas dobles ("), pueden 'cerrar' prematuramente el atributo data-tag e inyectar atributos HTML adicionales en el elemento. Dado que Pi-hole implementa una Política de Seguridad de Contenido (CSP) que bloquea JavaScript en línea, el impacto es limitado. Este problema ha sido solucionado en la versión 6.4.1.