Vulnerabilidad en OpenClaw (CVE-2026-32063)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

11/03/2026

Última modificación:

16/03/2026

Descripción

La versión 2026.2.19-2 de OpenClaw anterior a la 2026.2.21 contiene una vulnerabilidad de inyección de comandos en la generación de archivos de unidad de systemd, donde los valores de entorno controlados por el atacante no se validan en busca de caracteres CR/LF, lo que permite la inyección de nuevas líneas para escapar de las líneas Environment= e inyectar directivas arbitrarias de systemd. Un atacante que puede influir en config.env.vars y activar la instalación o el reinicio del servicio puede ejecutar comandos arbitrarios con los privilegios del usuario del servicio de pasarela de OpenClaw.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto