Vulnerabilidades

Las versiones de OpenClaw anteriores a la 2026.2.19 construyen objetos RegExp directamente a partir de metadatos de menciones de Feishu sin escapar en la función stripBotMention, lo que permite la inyección de expresiones regulares y la denegación de servicio. Los atacantes pueden crear patrones de cuantificadores anidados o metacaracteres en los metadatos de las menciones para desencadenar un retroceso catastrófico, bloquear el procesamiento de mensajes o eliminar contenido no deseado antes del procesamiento del modelo.

Versiones de OpenClaw anteriores a la 2026.3.2 contienen una vulnerabilidad de omisión de confinamiento de ruta en el manejo de la salida del navegador que permite escrituras fuera de los directorios raíz previstos. Los atacantes pueden explotar la validación insuficiente de los límites de ruta canónica en las operaciones de escritura de archivos para evadir las restricciones ligadas a la raíz y escribir archivos en ubicaciones arbitrarias.

Versiones de OpenClaw anteriores a la 2026.2.22 en el system.run del host de nodo de macOS contienen una vulnerabilidad de omisión de lista de permitidos que permite a atacantes remotos ejecutar comandos no incluidos en la lista de permitidos explotando un análisis incorrecto de tokens de sustitución de comandos. Los atacantes pueden crear cargas útiles de shell con sintaxis de sustitución de comandos dentro de texto entre comillas dobles para omitir restricciones de seguridad y ejecutar comandos arbitrarios en el sistema.

Las versiones de OpenClaw anteriores a 2026.3.2 contienen una vulnerabilidad de omisión de fijación de DNS en rutas de obtención de URL estrictas que permite a los atacantes eludir las protecciones de SSRF cuando las variables de entorno de proxy están configuradas. Cuando las variables de entorno HTTP_PROXY, HTTPS_PROXY o ALL_PROXY están presentes, las URL influenciadas por el atacante pueden ser enrutadas a través del comportamiento del proxy en lugar del enrutamiento de destino fijado, lo que permite el acceso a objetivos internos accesibles desde el entorno del proxy.

Las versiones de OpenClaw anteriores a 2026.2.21 no filtran las variables de entorno peligrosas de control de procesos de las variables de entorno de configuración, lo que permite la ejecución de código en tiempo de inicio. Los atacantes pueden inyectar variables como NODE_OPTIONS o LD_* a través de la configuración para ejecutar código arbitrario en el contexto de tiempo de ejecución del servicio de pasarela OpenClaw.

Las versiones de OpenClaw anteriores a 2026.2.19 contienen una vulnerabilidad de salto de ruta en el flujo de descarga de medios de Feishu donde las claves de medios no confiables se interpolan directamente en las rutas de archivos temporales en extensions/feishu/src/media.ts. Un atacante que puede controlar los valores de las claves de medios de Feishu devueltos al cliente puede usar segmentos de salto para escapar de os.tmpdir() y escribir archivos arbitrarios dentro de los permisos del proceso de OpenClaw.

Versiones de OpenClaw anteriores a 2026.2.23 contienen una vulnerabilidad de omisión de aprobación de ejecución en modo de lista de permitidos donde las concesiones de 'permitir siempre' podrían ser eludidas a través de envoltorios de shell de multiplexor no reconocidos como los comandos 'sh -c' de busybox y toybox. Los atacantes pueden explotar esto invocando cargas útiles arbitrarias bajo el mismo envoltorio de multiplexor para satisfacer las reglas de lista de permitidos almacenadas, omitiendo las restricciones de ejecución previstas.

Las versiones de OpenClaw anteriores a 2026.2.22 con el plugin opcional BlueBubbles contienen una vulnerabilidad de omisión de control de acceso donde una configuración 'allowFrom' vacía hace que las restricciones de emparejamiento de dmPolicy y de la lista de permitidos (allowlist) sean ineficaces. Los atacantes remotos pueden enviar mensajes directos a cuentas de BlueBubbles explotando la lógica de validación de la lista de permitidos (allowlist) mal configurada para omitir las comprobaciones de autorización del remitente previstas.

Las versiones de OpenClaw anteriores a 2026.2.22 inyectan el encabezado x-OpenClaw-relay-token en el tráfico de sondeo de Chrome CDP en interfaces de bucle invertido, lo que permite a los procesos locales capturar el token de autenticación de Gateway. Un atacante que controla un puerto de bucle invertido puede interceptar sondeos de accesibilidad CDP al endpoint /json/version y reutilizar el token filtrado como autenticación de portador de Gateway.

Versiones de OpenClaw anteriores a 2026.2.21 contienen una vulnerabilidad de discrepancia de integridad de aprobación en system.run que permite a operadores autenticados ejecutar argumentos finales arbitrarios después de cmd.exe /c mientras que el texto de aprobación refleja solo un comando benigno. Los atacantes pueden introducir argumentos maliciosos a través de cmd.exe /c para lograr la ejecución de comandos local en nodos Windows de confianza con registros de auditoría no coincidentes.

Las versiones de OpenClaw anteriores a 2026.2.22 contienen una vulnerabilidad de omisión de lista de permitidos en la configuración de safeBins que permite a los atacantes invocar ayudantes externos a través de la opción compress-program. Cuando sort se añade explícitamente a tools.exec.safeBins, los atacantes remotos pueden omitir las restricciones de aprobación de safe-bin previstas aprovechando el parámetro compress-program para ejecutar programas externos no autorizados.

Next.js es un framework de React para construir aplicaciones web full-stack. A partir de la versión 9.5.0 y antes de las versiones 15.5.13 y 16.1.7, cuando Next.js reescribe el tráfico de proxy a un backend externo, una solicitud 'DELETE'/'OPTIONS' manipulada utilizando 'Transfer-Encoding: chunked' podría desencadenar un desacuerdo en el límite de la solicitud entre el proxy y el backend. Esto podría permitir el contrabando de solicitudes a través de rutas reescritas. Un atacante podría contrabandear una segunda solicitud a rutas de backend no intencionadas (por ejemplo, endpoints internos/de administración), eludiendo las suposiciones de que solo el destino/ruta de reescritura configurado es accesible. Esto no tiene impacto en las aplicaciones alojadas en proveedores que manejan las reescrituras a nivel de CDN, como Vercel. La vulnerabilidad se originó en una biblioteca upstream distribuida por Next.js. Se solucionó en Next.js 15.5.13 y 16.1.7 actualizando el comportamiento de esa dependencia para que 'content-length: 0' se añada solo cuando tanto 'content-length' como 'transfer-encoding' estén ausentes, y 'transfer-encoding' ya no se elimine en esa ruta de código. Si la actualización no es posible de inmediato, bloquee las solicitudes 'DELETE'/'OPTIONS' chunked en las rutas reescritas en el borde/proxy, y/o aplique autenticación/autorización en las rutas de backend.