Vulnerabilidad en openclaw (CVE-2026-27487)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
21/02/2026
Última modificación:
23/02/2026
Descripción
OpenClaw es un asistente personal de IA. En las versiones 2026.2.13 e inferiores, al usar macOS, la ruta de actualización de credenciales del llavero de Claude CLI construía un comando de shell para escribir el blob JSON actualizado en el Llavero a través de security add-generic-password -w .... Debido a que los tokens OAuth son datos controlados por el usuario, esto creaba un riesgo de inyección de comandos del sistema operativo. Este problema ha sido solucionado en la versión 2026.2.14.
Impacto
Puntuación base 3.x
7.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* | 2026.2.14 (excluyendo) | |
| cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/openclaw/openclaw/commit/66d7178f2d6f9d60abad35797f97f3e61389b70c
- https://github.com/openclaw/openclaw/commit/9dce3d8bf83f13c067bc3c32291643d2f1f10a06
- https://github.com/openclaw/openclaw/commit/b908388245764fb3586859f44d1dff5372b19caf
- https://github.com/openclaw/openclaw/pull/15924
- https://github.com/openclaw/openclaw/releases/tag/v2026.2.14
- https://github.com/openclaw/openclaw/security/advisories/GHSA-4564-pvr2-qq4h