Vulnerabilidades

Las versiones de OpenClaw anteriores a la 2026.2.14 contienen una vulnerabilidad de escalada de privilegios en el gestor de comandos slash de Slack que autoriza incorrectamente a cualquier remitente de mensaje directo cuando dmPolicy está configurado como 'open' (debe configurarse). Los atacantes pueden ejecutar comandos slash privilegiados a través de mensaje directo para eludir las restricciones de lista de permitidos y de grupo de acceso.

Las versiones de OpenClaw 2.0.0-beta3 anteriores a 2026.2.14 contienen una vulnerabilidad de salto de ruta en la carga del módulo de transformación de hooks que permite la ejecución arbitraria de JavaScript. El parámetro hooks.mappings[].transform.module acepta rutas absolutas y secuencias de salto, lo que permite a los atacantes con acceso de escritura a la configuración cargar y ejecutar módulos maliciosos con privilegios del proceso de la pasarela.

Vulnerabilidad de expiración de sesión insuficiente en hexpm hexpm/hexpm (módulo &amp;#39;Elixir.Hexpm.Accounts.PasswordReset&amp;#39;) permite la toma de control de cuentas.<br /> <br /> Los tokens de restablecimiento de contraseña generados a través del flujo &amp;#39;Restablecer su contraseña&amp;#39; no expiran. Cuando un usuario solicita un restablecimiento de contraseña, Hex envía un correo electrónico que contiene un enlace de restablecimiento con un token. Este token permanece válido indefinidamente hasta que se usa. No se aplica ninguna expiración basada en el tiempo.<br /> <br /> Si los correos electrónicos históricos de un usuario se exponen a través de una violación de datos (por ejemplo, un archivo de buzón de correo filtrado), cualquier correo electrónico de restablecimiento de contraseña no utilizado contenido en ese conjunto de datos podría ser utilizado por un atacante para restablecer la contraseña de la víctima. El atacante no necesita acceso actual a la cuenta de correo electrónico de la víctima, solo acceso a una copia previamente filtrada del correo electrónico de restablecimiento.<br /> <br /> Esta vulnerabilidad está asociada con los archivos de programa lib/hexpm/accounts/password_reset.ex y las rutinas de programa &amp;#39;Elixir.Hexpm.Accounts.PasswordReset&amp;#39;:can_reset?/3.<br /> <br /> Este problema afecta a hexpm: desde 617e44c71f1dd9043870205f371d375c5c4d886d antes de bb0e42091995945deef10556f58d046a52eb7884.

File Browser proporciona una interfaz de gestión de archivos dentro de un directorio especificado y puede utilizarse para subir, eliminar, previsualizar, renombrar y editar archivos. Antes de la versión 2.61.1, una vulnerabilidad de control de acceso roto en el endpoint DELETE del protocolo TUS permite a usuarios autenticados con solo permiso de Creación eliminar archivos y directorios arbitrarios dentro de su alcance, eludiendo la restricción de permiso de Eliminación prevista. Cualquier despliegue multiusuario donde los administradores restringen explícitamente la eliminación de archivos para ciertos usuarios se ve afectado. Este problema ha sido parcheado en la versión 2.61.1.

Frappe es un framework de aplicación web full-stack. Antes de las versiones 14.100.1 y 15.100.0, un endpoint era vulnerable a inyección SQL a través de solicitudes especialmente diseñadas, lo que permitiría a un actor malicioso extraer información sensible. Este problema ha sido parcheado en las versiones 14.100.1 y 15.100.0.

Frappe es un framework de aplicación web full-stack. Antes de las versiones 15.98.0 y 14.100.0, debido a una falta de validación al compartir documentos, un usuario podía compartir un documento con un permiso que ellos mismos no tenían. Este problema ha sido parcheado en las versiones 15.98.0 y 14.100.0.

Frappe es un framework de aplicación web full-stack. Antes de las versiones 16.11.0 y 15.102.0, un atacante puede establecer una URL de imagen manipulada que resulta en XSS cuando se muestra el avatar, y puede ser activado para otros usuarios a través de comentarios de páginas web. Este problema ha sido parcheado en las versiones 16.11.0 y 15.102.0.

Navegador de Archivos proporciona una interfaz de gestión de archivos dentro de un directorio especificado y se puede usar para subir, eliminar, previsualizar, renombrar y editar archivos. Antes de la versión 2.61.0, cuando un usuario crea un enlace de compartición público para un directorio, el middleware withHashFile en http/public.go usa filepath.Dir(link.Path) para calcular la raíz BasePathFs. Esto establece la raíz del sistema de archivos en el directorio padre en lugar del propio directorio compartido, permitiendo a cualquiera con el enlace de compartición navegar y descargar archivos de todos los directorios hermanos. Este problema ha sido parcheado en la versión 2.61.0.

ZimaOS es un fork de CasaOS, un sistema operativo para dispositivos Zima y sistemas x86-64 con UEFI. En la versión 1.5.2-beta3, los usuarios tienen restringido eliminar archivos o carpetas internos del sistema a través de la interfaz de la aplicación. Sin embargo, al interactuar directamente con la API, estas restricciones pueden ser eludidas. Al alterar el parámetro de ruta en la solicitud de eliminación, los archivos y directorios internos del sistema operativo pueden ser eliminados con éxito. El backend procesa estas solicitudes manipuladas sin validar si la ruta objetivo pertenece a ubicaciones restringidas del sistema. Esto demuestra una validación de entrada incorrecta y un control de acceso roto en operaciones sensibles del sistema de archivos. No hay ningún parche público conocido disponible.

OpenReplay es una suite de reproducción de sesiones autoalojada. Antes de la versión 1.20.0, el endpoint POST /{projectId}/cards/search tiene una inyección SQL en el parámetro sort.field. Este problema ha sido parcheado en la versión 1.20.0.

Products.isurlinportal es un reemplazo para el método isURLInPortal en Plone. Antes de las versiones 2.1.0, 3.1.0 y 4.0.0, una URL /login?came_from=////evil.example podría redirigir a un sitio web externo después de iniciar sesión. Este problema ha sido parcheado en las versiones 2.1.0, 3.1.0 y 4.0.0.

The Graph es un protocolo de indexación para consultar redes como Ethereum, IPFS, Polygon y otras blockchains. Antes de la versión 3.0.0, una falla en los contratos de adquisición de tokens permite a los usuarios acceder a tokens que deberían seguir bloqueados según su cronograma de adquisición de derechos. Este problema ha sido parcheado en la versión 3.0.0.