Vulnerabilidades

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, bajo iMessage 'groupPolicy=allowlist', la autorización de grupo podía ser satisfecha por identidades de remitente provenientes del almacén de emparejamiento de DM, ampliando la confianza de DM a contextos de grupo. La versión 2026.2.14 corrige el problema.

Libredesk es una aplicación de mesa de ayuda al cliente autoalojada. Las versiones anteriores a la 1.0.2-0.20260215211005-727213631ce6 no validan las URL de destino para los webhooks, permitiendo a un atacante que se hace pasar por un 'Administrador de Aplicación' autenticado forzar al servidor a realizar solicitudes HTTP a destinos internos arbitrarios. Esto podría comprometer la infraestructura de nube subyacente o la red corporativa interna donde se aloja el servicio. Este problema ha sido solucionado en la versión 1.0.2-0.20260215211005-727213631ce6.

Tanium abordó una vulnerabilidad de inserción de información sensible en archivo de registro en Trends.

OpenClaw es un asistente personal de IA. Las balizas de descubrimiento (Bonjour/mDNS y DNS-SD) incluyen registros TXT como 'lanHost', 'tailnetDns', 'gatewayPort' y 'gatewayTlsSha256'. Los registros TXT no están autenticados. Antes de la versión 2026.2.14, algunos clientes trataban los valores TXT como entradas autoritativas de enrutamiento/fijación. iOS y macOS usaban las sugerencias de host ('lanHost'/'tailnetDns') y los puertos ('gatewayPort') proporcionados por TXT para construir la URL de conexión. iOS y Android permitían que la huella digital TLS ('gatewayTlsSha256') proporcionada por el descubrimiento anulara una fijación TLS previamente almacenada. En una LAN compartida/no confiable, un atacante podría anunciar un servicio '_openclaw-gw._tcp' malicioso. Esto podría hacer que un cliente se conectara a un punto final controlado por un atacante y/o aceptara un certificado de atacante, potencialmente exfiltrando credenciales de Gateway ('auth.token' / 'auth.password') durante la conexión. En el momento de la publicación, las aplicaciones de iOS y Android están en fase alfa/no se han distribuido ampliamente (sin lanzamiento público en App Store / Play Store). El impacto práctico se limita principalmente a desarrolladores/probadores que ejecutan esas compilaciones, además de cualquier otro cliente distribuido que dependa del descubrimiento en una LAN compartida/no confiable. La versión 2026.2.14 corrige el problema. Los clientes ahora prefieren el punto final de servicio resuelto (SRV + A/AAAA) sobre las sugerencias de enrutamiento proporcionadas por TXT. Las huellas digitales proporcionadas por el descubrimiento ya no anulan las fijaciones TLS almacenadas. En iOS/Android, las fijaciones TLS por primera vez requieren confirmación explícita del usuario (huella digital mostrada; sin TOFU silencioso) y las conexiones directas basadas en descubrimiento son solo TLS. En Android, la verificación de nombre de host ya no está deshabilitada globalmente (solo se omite al fijar).

La Interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores de internet a nivel de red. Las versiones 6.0 y superiores tienen una vulnerabilidad de inyección HTML almacenada en la tabla de sesiones activas ubicada en la página de configuración de la API, permitiendo a un atacante con credenciales válidas inyectar código HTML arbitrario que se renderizará en el navegador de cualquier administrador que visite la página de sesiones activas. La función rowCallback contiene el valor data.x_forwarded_for, que se concatena directamente en una cadena HTML y se inserta en el DOM utilizando el método .html() de jQuery. Este método interpreta el contenido como HTML, lo que significa que cualquier etiqueta HTML presente en el valor será analizada y renderizada por el navegador. Un atacante puede usar herramientas comunes como curl, wget, Python requests, Burp Suite, o incluso JavaScript fetch() para enviar una solicitud de autenticación con una cabecera X-Forwarded-For que contiene código HTML malicioso en lugar de una dirección IP legítima. Dado que Pi-hole implementa una Política de Seguridad de Contenido (CSP) que bloquea JavaScript en línea, el impacto se limita a la inyección de HTML puro sin la capacidad de ejecutar scripts. Este problema ha sido solucionado en la versión 6.4.1.

La Interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores de internet a nivel de red. Las versiones 6.4 e inferiores son vulnerables a la inyección de HTML almacenado a través de la página de configuración de registros DNS locales, lo que permite a un administrador autenticado inyectar código que se almacena en la configuración de Pi-hole y se renderiza cada vez que se visualiza la tabla de registros DNS. La función populateDataTable() contiene una variable de datos con el valor completo del registro DNS exactamente como lo introdujo el usuario y devuelto por la API. Este valor se inserta directamente en el atributo HTML data-tag sin ningún escape o sanitización de caracteres especiales. Cuando un atacante proporciona un valor que contiene comillas dobles ("), pueden 'cerrar' prematuramente el atributo data-tag e inyectar atributos HTML adicionales en el elemento. Dado que Pi-hole implementa una Política de Seguridad de Contenido (CSP) que bloquea JavaScript en línea, el impacto es limitado. Este problema ha sido solucionado en la versión 6.4.1.

filippo.io/edwards25519 es una biblioteca Go que implementa la curva elíptica edwards25519 con API para construir primitivas criptográficas. En las versiones 1.1.0 y anteriores, MultiScalarMult produce resultados no válidos o comportamiento indefinido si el receptor no es el punto identidad. Si se llama a (*Point).MultiScalarMult en un punto inicializado que no es el punto identidad, devuelve un resultado incorrecto. Si se llama al método en un punto no inicializado, el comportamiento es indefinido. En particular, si el receptor es el valor cero, MultiScalarMult devuelve un punto no válido que se compara como Igual a cualquier otro punto. Tenga en cuenta que MultiScalarMult es una API avanzada y poco utilizada. Por ejemplo, los usuarios que dependen de filippo.io/edwards25519 solo a través de github.com/go-sql-driver/mysql no se ven afectados. Este problema ha sido corregido en la versión 1.1.1.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, `skills.status` podría divulgar secretos a clientes de `operator.read` al devolver valores de configuración resueltos en bruto en `configChecks` para las rutas `requires.config` de la habilidad. La versión 2026.2.14 deja de incluir valores de configuración resueltos en bruto en las comprobaciones de requisitos (devuelve solo `{ path, satisfied }`) y restringe el requisito de la habilidad de Discord a la clave del token. Además de actualizar, los usuarios deberían rotar cualquier token de Discord que pueda haber sido expuesto a clientes con ámbito de lectura.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, una inconsistencia entre `rawCommand` y `command[]` en el gestor `system.run` del host del nodo podría causar que la evaluación de la lista de permitidos/aprobación se realizara sobre un comando mientras se ejecutaba un argv diferente. Esto solo afecta a las implementaciones que utilizan la ruta de ejecución del host del nodo / nodo compañero (`system.run` en un nodo), habilitan la política de ejecución basada en lista de permitidos (`security=allowlist`) con solicitudes de aprobación impulsadas por fallos en la lista de permitidos (por ejemplo, `ask=on-miss`), y permiten a un atacante invocar `system.run`. Las configuraciones predeterminadas/no de nodo no se ven afectadas. La versión 2026.2.14 impone la consistencia de `rawCommand`/`command[]` (validación rápida de fallos en la pasarela + validación del host del nodo).

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, la protección SSRF de OpenClaw podía ser eludida utilizando literales IPv6 mapeados a IPv4 en formato completo, como '0:0:0:0:0:ffff:7f00:1' (que es '127.0.0.1'). Esto podría permitir que solicitudes que deberían ser bloqueadas (metadatos de bucle invertido / red privada / enlace local) pasaran la protección SSRF. La versión 2026.2.14 corrige el problema.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14 de OpenClaw, la herramienta Gateway aceptaba una 'gatewayUrl' proporcionada por la herramienta sin restricciones suficientes, lo que podría hacer que el host de OpenClaw intentara conexiones WebSocket salientes a objetivos especificados por el usuario. Esto requiere la capacidad de invocar herramientas que acepten anulaciones de 'gatewayUrl' (directa o indirectamente). En configuraciones típicas, esto se limita a operadores autenticados, automatización de confianza o entornos donde las llamadas a herramientas están expuestas a no operadores. En otras palabras, esto no es un problema de ataque al paso para usuarios de internet arbitrarios a menos que una implementación permita explícitamente a usuarios no confiables activar estas llamadas a herramientas. Algunas rutas de llamada a herramientas permitían que las anulaciones de 'gatewayUrl' fluyeran hacia el cliente WebSocket de Gateway sin validación o inclusión en lista blanca. Esto significaba que se podía instruir al host para que intentara conexiones a puntos finales que no fueran de gateway (por ejemplo, servicios de localhost, direcciones de red privadas o IPs de metadatos en la nube). En el caso común, esto resulta en un intento de conexión saliente desde el host de OpenClaw (y los errores/tiempos de espera correspondientes). En entornos donde el invocador de la herramienta puede observar los resultados, esto también puede usarse para sondeos limitados de accesibilidad de red. Si el objetivo habla WebSocket y es alcanzable, una interacción adicional puede ser posible. A partir de la versión 2026.2.14, las anulaciones de 'gatewayUrl' proporcionadas por la herramienta están restringidas a loopback (en el puerto de gateway configurado) o a la 'gateway.remote.url' configurada. Protocolos no permitidos, credenciales, consulta/hash y rutas no raíz son rechazados.

OpenClaw es un asistente personal de IA. Las versiones 2026.1.8 a 2026.2.13 tienen una inyección de comandos en el script de mantenedor/desarrollo scripts/update-clawtributors.ts. El problema afecta a los colaboradores/mantenedores (o CI) que ejecutan bun scripts/update-clawtributors.ts en una copia de trabajo del código fuente que contiene un correo electrónico de autor de commit malicioso (p. ej., valores @users[.]noreply[.]github[.]com manipulados). El uso normal de la CLI no se ve afectado (npm i -g openclaw): este script no forma parte de la CLI distribuida y no se ejecuta durante la operación rutinaria. El script derivó un inicio de sesión de GitHub de los metadatos del autor de git log y lo interpoló en un comando de shell (a través de execSync). Un registro de commit malicioso podría inyectar metacaracteres de shell y ejecutar comandos arbitrarios cuando se ejecuta el script. La versión 2026.2.14 contiene un parche.