Vulnerabilidad en OpenClaw (CVE-2026-26316)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/02/2026
Última modificación:
24/02/2026
Descripción
OpenClaw es un asistente personal de IA. Antes de 2026.2.13, el plugin opcional del canal iMessage de BlueBubbles podía aceptar solicitudes de webhook como autenticadas basándose únicamente en que la dirección de par TCP fuera de bucle invertido ('127.0.0.1', '::1', '::ffff:127.0.0.1') incluso cuando el secreto de webhook configurado faltaba o era incorrecto. Esto no afecta a la integración predeterminada de iMessage a menos que BlueBubbles esté instalado y habilitado. La versión 2026.2.13 contiene un parche. Otras mitigaciones incluyen establecer una contraseña de webhook de BlueBubbles no vacía y evitar implementaciones donde un proxy inverso de cara al público reenvíe a un Gateway vinculado a loopback sin una fuerte autenticación ascendente.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* | 2026.2.13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/openclaw/openclaw/commit/743f4b28495cdeb0d5bf76f6ebf4af01f6a02e5a
- https://github.com/openclaw/openclaw/commit/f836c385ffc746cb954e8ee409f99d079bfdcd2f
- https://github.com/openclaw/openclaw/releases/tag/v2026.2.13
- https://github.com/openclaw/openclaw/security/advisories/GHSA-pchc-86f6-8758