¿Qué es una condición de carrera en la extracción de ZIP?

Una condición de carrera en la extracción de ZIP se produce cuando varios procesos o hilos intentan acceder y modificar un archivo ZIP simultáneamente. Esto puede conducir a un comportamiento inesperado, como escribir datos en ubicaciones no deseadas o corromper el archivo.

¿Qué es el crecimiento ilimitado de la memoria?

El crecimiento ilimitado de la memoria se refiere a una situación en la que un programa o sistema asigna continuamente memoria sin liberarla, consumiendo eventualmente toda la memoria disponible y potencialmente causando un fallo o una denegación de servicio.

¿Qué es una omisión de la autorización del remitente?

Una omisión de la autorización del remitente es una vulnerabilidad de seguridad que permite a un atacante eludir los mecanismos de autorización previstos y obtener acceso a los recursos o realizar acciones que no están autorizados a realizar.

¿Qué es la inyección HTML?

La inyección HTML es un tipo de vulnerabilidad de seguridad que permite a un atacante inyectar código HTML arbitrario en una página web, lo que puede conducir a ataques de cross-site scripting (XSS) u otro comportamiento malicioso.

Múltiples Vulnerabilidades de OpenClaw Han Sido Parcheadas

Se ha descubierto una serie de vulnerabilidades en OpenClaw, un componente de nodejs, que potencialmente conducen a la ejecución remota de código, denegación de servicio, omisión de autorización y divulgación de información confidencial. Estas vulnerabilidades afectan a varios aspectos de OpenClaw, incluyendo su funcionalidad principal y el ecosistema de plugins. Las versiones parcheadas ya están disponibles; se recomienda encarecidamente a los usuarios que actualicen inmediatamente.

Estas vulnerabilidades varían de media a crítica, lo que supone un riesgo significativo para las implementaciones de OpenClaw.

¿Qué es OpenClaw?

OpenClaw es un componente versátil construido para el entorno nodejs, que ofrece una gama de funcionalidades. Está diseñado para agilizar varias tareas dentro de las aplicaciones nodejs. Sin embargo, como cualquier software, OpenClaw está sujeto a vulnerabilidades que pueden comprometer su seguridad y estabilidad. Para obtener más información sobre OpenClaw y su seguridad, puede buscar todos los CVE de openclaw.

CVE-2026-27670: Condición de Carrera en la Extracción de ZIP de OpenClaw

CVSS7.5

Versiones afectadasEsta vulnerabilidad afecta a las versiones 2026.3.1 y anteriores de OpenClaw.

Alta gravedad debido al potencial de escritura arbitraria de archivos.

La puntuación EPSS de 0.012 indica una baja probabilidad de explotación.

Existe una condición de carrera en el proceso de extracción de ZIP de OpenClaw. Los atacantes podrían escribir fuera del directorio de destino previsto manipulando los enlaces simbólicos durante la extracción.

Cómo solucionar CVE-2026-27670 en OpenClaw

Parchear ahora

1.Actualice el paquete `openclaw` a la versión 2026.3.2 o posterior.

Actualizar OpenClaw

npm update openclaw

Solución temporal: No se conoce ninguna solución alternativa. Actualice a la versión parcheada.

NextGuard marca automáticamente CVE-2026-27670 si `openclaw` aparece en alguno de sus proyectos monitorizados; no se requiere ninguna búsqueda manual.

CVE-2026-28461: Crecimiento Ilimitado de la Memoria en el Webhook de Zalo de OpenClaw

CVSS7.5

Versiones afectadasEsta vulnerabilidad afecta a las versiones 2026.2.26 y anteriores de OpenClaw.

Alta gravedad debido al potencial de denegación de servicio.

La puntuación EPSS de 0.093 sugiere una probabilidad moderada de explotación.

Las peticiones no autenticadas al punto final del webhook de Zalo pueden provocar un crecimiento ilimitado de la memoria. Variando las cadenas de consulta, los atacantes pueden agotar los recursos de memoria, lo que lleva a una denegación de servicio.

Cómo solucionar CVE-2026-28461 en OpenClaw

Parchear ahora

1.Actualice el paquete `openclaw` a la versión 2026.3.1 o posterior.

Actualizar OpenClaw

npm update openclaw

Solución temporal: No se conoce ninguna solución alternativa. Actualice a la versión parcheada.

NextGuard marca automáticamente CVE-2026-28461 si `openclaw` aparece en alguno de sus proyectos monitorizados; no se requiere ninguna búsqueda manual.

CVE-2026-32039: Omisión de la Política de Coincidencia de Claves del Remitente de OpenClaw

CVSS5.9

Versiones afectadasEsta vulnerabilidad afecta a las versiones 2026.2.21-2 y anteriores de OpenClaw.

Gravedad media debido al potencial de omisión de autorización.

La puntuación EPSS de 0.024 indica una baja probabilidad de explotación.

Existe una omisión de la autorización del remitente en la coincidencia de la política de la herramienta de grupo. Al utilizar claves no tipadas, un atacante podría heredar permisos de herramienta más fuertes destinados a otro remitente.

Cómo solucionar CVE-2026-32039 en OpenClaw

Parchear en 7 días

1.Actualice el paquete `openclaw` a la versión 2026.2.22 o posterior.

Actualizar OpenClaw

npm update openclaw

Solución temporal: Asegúrese de que `toolsBySender` utiliza claves de remitente tipadas explícitamente.

NextGuard marca automáticamente CVE-2026-32039 si `openclaw` aparece en alguno de sus proyectos monitorizados; no se requiere ninguna búsqueda manual.

CVE-2026-32041: Omisión de la Autenticación de Inicio del Control del Navegador de OpenClaw

CVSS6.9

Versiones afectadasEsta vulnerabilidad afecta a las versiones 2026.2.26 y anteriores de OpenClaw.

Gravedad media debido al potencial de acceso no autorizado.

La puntuación EPSS de 0.017 indica una baja probabilidad de explotación.

El inicio del control del navegador podría continuar sin autenticación después de un fallo en el arranque de la autenticación. Esto expone las rutas de control del navegador sin autenticación.

Cómo solucionar CVE-2026-32041 en OpenClaw

Parchear ahora

1.Actualice el paquete `openclaw` a la versión 2026.3.1 o posterior.

Actualizar OpenClaw

npm update openclaw

Solución temporal: Asegúrese de que las credenciales de autenticación explícitas están configuradas para el control del navegador.

NextGuard marca automáticamente CVE-2026-32041 si `openclaw` aparece en alguno de sus proyectos monitorizados; no se requiere ninguna búsqueda manual.

CVE-2026-32040: Vulnerabilidad de Inyección HTML de OpenClaw

CVSS4.6

Versiones afectadasEsta vulnerabilidad afecta a las versiones de OpenClaw anteriores a 2026.2.23.

Baja gravedad debido a la limitada capacidad de explotación.

La puntuación EPSS de 0.024 indica una baja probabilidad de explotación.

OpenClaw es vulnerable a la inyección de HTML a través del tipo MIME de imagen no validado en la interpolación de data-URL. Un valor `mimeType` manipulado puede salir del contexto del atributo y ejecutar JavaScript arbitrario.

Cómo solucionar CVE-2026-32040 en OpenClaw

Parchear en 7 días

1.Actualice el paquete `openclaw` a la versión 2026.2.23 o posterior.

Actualizar OpenClaw

npm update openclaw

Solución temporal: Sanitizar los tipos MIME de imagen en los datos de la sesión.

NextGuard marca automáticamente CVE-2026-32040 si `openclaw` aparece en alguno de sus proyectos monitorizados; no se requiere ninguna búsqueda manual.

Manténgase a la vanguardia de las vulnerabilidades de nodejs

Detecte y corrija de forma proactiva las amenazas de seguridad de nodejs. Supervise sus dependencias de nodejs con alertas en tiempo real e información práctica.

Comparar características

Preguntas frecuentes

Estas vulnerabilidades ponen de manifiesto la importancia de mantener actualizadas sus implementaciones de OpenClaw. La aplicación regular de parches a sus dependencias es crucial para mantener un entorno seguro. Ver todas las vulnerabilidades de nodejs.

Temas relacionados

seguridad de nodejsgestión de vulnerabilidadesgestión de parchesseguridad de aplicacionesOpenClaw