Vulnerabilidad en OpenClaw (CVE-2026-27009)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
20/02/2026
Última modificación:
20/02/2026
Descripción
OpenClaw es un asistente personal de IA. Antes de la versión 2026.2.15, existía un problema de XSS almacenado en la interfaz de usuario de control de OpenClaw al renderizar la identidad del asistente (nombre/avatar) en una etiqueta `` podría escapar de la etiqueta de script y ejecutar JavaScript controlado por el atacante en el origen de la interfaz de usuario de control. La versión 2026.2.15 eliminó la inyección de scripts en línea y sirve la configuración de arranque desde un endpoint JSON, y añadió una Política de Seguridad de Contenido restrictiva para la interfaz de usuario de control (`script-src 'self'`, sin scripts en línea).
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* | 2026.2.15 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/openclaw/openclaw/commit/3b4096e02e7e335f99f5986ec1bd566e90b14a7e
- https://github.com/openclaw/openclaw/commit/adc818db4a4b3b8d663e7674ef20436947514e1b
- https://github.com/openclaw/openclaw/releases/tag/v2026.2.15
- https://github.com/openclaw/openclaw/security/advisories/GHSA-37gc-85xm-2ww6