Vulnerabilidades

La Interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores de internet a nivel de red. Las versiones 6.4 e inferiores son vulnerables a la inyección de HTML almacenado a través de la página de configuración de registros DNS locales, lo que permite a un administrador autenticado inyectar código que se almacena en la configuración de Pi-hole y se renderiza cada vez que se visualiza la tabla de registros DNS. La función populateDataTable() contiene una variable de datos con el valor completo del registro DNS exactamente como lo introdujo el usuario y devuelto por la API. Este valor se inserta directamente en el atributo HTML data-tag sin ningún escape o sanitización de caracteres especiales. Cuando un atacante proporciona un valor que contiene comillas dobles ("), pueden 'cerrar' prematuramente el atributo data-tag e inyectar atributos HTML adicionales en el elemento. Dado que Pi-hole implementa una Política de Seguridad de Contenido (CSP) que bloquea JavaScript en línea, el impacto es limitado. Este problema ha sido solucionado en la versión 6.4.1.

filippo.io/edwards25519 es una biblioteca Go que implementa la curva elíptica edwards25519 con API para construir primitivas criptográficas. En las versiones 1.1.0 y anteriores, MultiScalarMult produce resultados no válidos o comportamiento indefinido si el receptor no es el punto identidad. Si se llama a (*Point).MultiScalarMult en un punto inicializado que no es el punto identidad, devuelve un resultado incorrecto. Si se llama al método en un punto no inicializado, el comportamiento es indefinido. En particular, si el receptor es el valor cero, MultiScalarMult devuelve un punto no válido que se compara como Igual a cualquier otro punto. Tenga en cuenta que MultiScalarMult es una API avanzada y poco utilizada. Por ejemplo, los usuarios que dependen de filippo.io/edwards25519 solo a través de github.com/go-sql-driver/mysql no se ven afectados. Este problema ha sido corregido en la versión 1.1.1.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, `skills.status` podría divulgar secretos a clientes de `operator.read` al devolver valores de configuración resueltos en bruto en `configChecks` para las rutas `requires.config` de la habilidad. La versión 2026.2.14 deja de incluir valores de configuración resueltos en bruto en las comprobaciones de requisitos (devuelve solo `{ path, satisfied }`) y restringe el requisito de la habilidad de Discord a la clave del token. Además de actualizar, los usuarios deberían rotar cualquier token de Discord que pueda haber sido expuesto a clientes con ámbito de lectura.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, una inconsistencia entre `rawCommand` y `command[]` en el gestor `system.run` del host del nodo podría causar que la evaluación de la lista de permitidos/aprobación se realizara sobre un comando mientras se ejecutaba un argv diferente. Esto solo afecta a las implementaciones que utilizan la ruta de ejecución del host del nodo / nodo compañero (`system.run` en un nodo), habilitan la política de ejecución basada en lista de permitidos (`security=allowlist`) con solicitudes de aprobación impulsadas por fallos en la lista de permitidos (por ejemplo, `ask=on-miss`), y permiten a un atacante invocar `system.run`. Las configuraciones predeterminadas/no de nodo no se ven afectadas. La versión 2026.2.14 impone la consistencia de `rawCommand`/`command[]` (validación rápida de fallos en la pasarela + validación del host del nodo).

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14, la protección SSRF de OpenClaw podía ser eludida utilizando literales IPv6 mapeados a IPv4 en formato completo, como '0:0:0:0:0:ffff:7f00:1' (que es '127.0.0.1'). Esto podría permitir que solicitudes que deberían ser bloqueadas (metadatos de bucle invertido / red privada / enlace local) pasaran la protección SSRF. La versión 2026.2.14 corrige el problema.

OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.14 de OpenClaw, la herramienta Gateway aceptaba una 'gatewayUrl' proporcionada por la herramienta sin restricciones suficientes, lo que podría hacer que el host de OpenClaw intentara conexiones WebSocket salientes a objetivos especificados por el usuario. Esto requiere la capacidad de invocar herramientas que acepten anulaciones de 'gatewayUrl' (directa o indirectamente). En configuraciones típicas, esto se limita a operadores autenticados, automatización de confianza o entornos donde las llamadas a herramientas están expuestas a no operadores. En otras palabras, esto no es un problema de ataque al paso para usuarios de internet arbitrarios a menos que una implementación permita explícitamente a usuarios no confiables activar estas llamadas a herramientas. Algunas rutas de llamada a herramientas permitían que las anulaciones de 'gatewayUrl' fluyeran hacia el cliente WebSocket de Gateway sin validación o inclusión en lista blanca. Esto significaba que se podía instruir al host para que intentara conexiones a puntos finales que no fueran de gateway (por ejemplo, servicios de localhost, direcciones de red privadas o IPs de metadatos en la nube). En el caso común, esto resulta en un intento de conexión saliente desde el host de OpenClaw (y los errores/tiempos de espera correspondientes). En entornos donde el invocador de la herramienta puede observar los resultados, esto también puede usarse para sondeos limitados de accesibilidad de red. Si el objetivo habla WebSocket y es alcanzable, una interacción adicional puede ser posible. A partir de la versión 2026.2.14, las anulaciones de 'gatewayUrl' proporcionadas por la herramienta están restringidas a loopback (en el puerto de gateway configurado) o a la 'gateway.remote.url' configurada. Protocolos no permitidos, credenciales, consulta/hash y rutas no raíz son rechazados.

OpenClaw es un asistente personal de IA. Las versiones 2026.1.8 a 2026.2.13 tienen una inyección de comandos en el script de mantenedor/desarrollo scripts/update-clawtributors.ts. El problema afecta a los colaboradores/mantenedores (o CI) que ejecutan bun scripts/update-clawtributors.ts en una copia de trabajo del código fuente que contiene un correo electrónico de autor de commit malicioso (p. ej., valores @users[.]noreply[.]github[.]com manipulados). El uso normal de la CLI no se ve afectado (npm i -g openclaw): este script no forma parte de la CLI distribuida y no se ejecuta durante la operación rutinaria. El script derivó un inicio de sesión de GitHub de los metadatos del autor de git log y lo interpoló en un comando de shell (a través de execSync). Un registro de commit malicioso podría inyectar metacaracteres de shell y ejecutar comandos arbitrarios cuando se ejecuta el script. La versión 2026.2.14 contiene un parche.

OpenClaw es un asistente personal de IA. El cliente de escritorio de OpenClaw para macOS registra el esquema de URL 'openclaw://'. Para los enlaces profundos 'openclaw://agent' sin una 'key' desatendida, la aplicación muestra un cuadro de diálogo de confirmación que anteriormente solo mostraba los primeros 240 caracteres del mensaje, pero ejecutaba el mensaje completo después de que el usuario hacía clic en "Ejecutar". En el momento de escribir este documento, el cliente de escritorio de OpenClaw para macOS todavía está en beta. En las versiones 2026.2.6 a 2026.2.13, un atacante podría rellenar el mensaje con espacios en blanco para empujar una carga útil maliciosa fuera de la vista previa visible, aumentando la probabilidad de que un usuario apruebe un mensaje diferente al que realmente se ejecuta. Si un usuario ejecuta el enlace profundo, el agente puede realizar acciones que pueden llevar a la ejecución arbitraria de comandos, dependiendo de las aprobaciones/listas blancas de herramientas configuradas por el usuario. Esta es una vulnerabilidad mediada por ingeniería social: el aviso de confirmación podría hacerse para tergiversar el mensaje ejecutado. El problema está solucionado en la versión 2026.2.14. Otras mitigaciones incluyen no aprobar avisos inesperados de '¿Ejecutar agente de OpenClaw?' activados al navegar por sitios no confiables y usar enlaces profundos desatendidos solo con una 'key' válida para automatizaciones personales confiables.

OpenClaw es un asistente personal de inteligencia artificial. Antes de la versión 2026.2.14 de OpenClaw, la extensión Feishu permitía a `sendMediaFeishu` tratar los valores `mediaUrl` controlados por el atacante como rutas del sistema de archivos local y leerlos directamente. Si un atacante puede influir en las llamadas a herramientas (directamente o mediante inyección de comandos), podría filtrar archivos locales proporcionando rutas como '/ etc / passwd' como «mediaUrl». Actualice a OpenClaw «2026.2.14» o una versión posterior para recibir una corrección. La corrección elimina la lectura directa de archivos locales de esta ruta y redirige la carga de medios a través de ayudantes reforzados que aplican restricciones de raíz local.

Control de acceso inadecuado en Microsoft Teams permite a un atacante no autorizado divulgar información a través de una red.

Cosign proporciona firma de código y transparencia para contenedores y binarios. En las versiones 3.0.4 e inferiores, un certificado emisor con una validez que expira antes que el certificado hoja se considerará válido durante la verificación, incluso si la marca de tiempo proporcionada significaría que el certificado emisor debería considerarse expirado. Al verificar firmas de artefactos usando un certificado, Cosign primero verifica la cadena de certificados usando la marca de tiempo 'no antes de' del certificado hoja y luego verifica la caducidad del certificado hoja usando una marca de tiempo firmada proporcionada por el registro de transparencia de Rekor o de una autoridad de marca de tiempo, o usando la hora actual. Se asume que el certificado raíz y todos los certificados emisores son válidos durante la validez del certificado hoja. No hay impacto para los usuarios de la infraestructura pública de Sigstore. Esto puede afectar a despliegues privados con PKIs personalizadas. Este problema ha sido corregido en la versión 3.0.5.

OpenClaw es un asistente personal de IA. Las versiones 2026.2.13 e inferiores permiten que el plugin opcional @openclaw/voice-call, gestor de webhooks de Telnyx, acepte solicitudes de webhook entrantes sin firmar cuando telnyx.publicKey no está configurado, lo que permite a los llamantes no autenticados falsificar eventos de Telnyx. Se espera que los webhooks de Telnyx sean autenticados mediante verificación de firma Ed25519. En las versiones afectadas, TelnyxProvider.verifyWebhook() podría fallar de forma abierta (fail open) cuando no se configuró ninguna clave pública de Telnyx, permitiendo que solicitudes HTTP POST arbitrarias al endpoint del webhook de voice-call sean tratadas como eventos legítimos de Telnyx. Esto solo afecta a las implementaciones donde el plugin de Voice Call está instalado, habilitado y el endpoint del webhook es accesible desde el atacante (por ejemplo, expuesto públicamente a través de un túnel/proxy). El problema ha sido solucionado en la versión 2026.2.14.