OpenClaw es un paquete de nodejs que proporciona funcionalidades específicas a las aplicaciones. Se utiliza en varios contextos, y las vulnerabilidades dentro de OpenClaw pueden afectar la seguridad de las aplicaciones que dependen de él. Mantener OpenClaw actualizado es crucial para mantener la seguridad de la aplicación.

¿Cómo actualizo OpenClaw?

Puede actualizar OpenClaw utilizando el comando `npm update openclaw`. Este comando actualizará OpenClaw a la última versión, incluidos los parches de seguridad. Se recomienda actualizar periódicamente sus dependencias para protegerse contra vulnerabilidades conocidas.

¿Cuáles son los riesgos de no parchear OpenClaw?

No parchear OpenClaw puede exponer su aplicación a varios riesgos de seguridad, incluida la ejecución remota de código, la omisión de la autenticación y la divulgación de archivos confidenciales. Los atacantes pueden explotar estas vulnerabilidades para comprometer su sistema o robar datos confidenciales. El parcheo oportuno es esencial para mitigar estos riesgos.

¿Dónde puedo encontrar más información sobre las vulnerabilidades de OpenClaw?

Puede encontrar más información sobre las vulnerabilidades de OpenClaw en sitios web de seguridad como #SITE_NAME#, que rastrea e informa sobre las CVE recién descubiertas. Estas plataformas proporcionan información detallada sobre las vulnerabilidades, su impacto y cómo solucionarlas.

Múltiples vulnerabilidades corregidas en OpenClaw

Se han descubierto múltiples vulnerabilidades en OpenClaw, un componente de nodejs, que incluyen inyección de comandos, omisión de autenticación y divulgación de archivos confidenciales. Estas vulnerabilidades podrían permitir a los atacantes ejecutar código arbitrario, omitir comprobaciones de seguridad o acceder a información confidencial. Se recomienda a los usuarios que actualicen a las últimas versiones de OpenClaw para mitigar estos riesgos.

Estas vulnerabilidades varían en gravedad, y la más crítica podría conducir a la ejecución remota de código.

¿Qué es Openclaw?

Openclaw es un componente para nodejs, probablemente utilizado en varias aplicaciones para proporcionar funcionalidades específicas. Debido a su función en el manejo de operaciones potencialmente confidenciales, las vulnerabilidades en Openclaw pueden tener implicaciones de seguridad significativas para las aplicaciones que dependen de él. Para obtener más información, puede buscar todas las CVE de openclaw.

CVE-2026-28363: Omisión de validación de OpenClaw a través de abreviaturas de opciones largas de GNU

CVSS9.9

Versiones afectadasLas versiones de OpenClaw anteriores a 2026.2.23 se ven afectadas cuando se utiliza el modo de lista de permitidos y se confía en la coincidencia exacta de cadenas para las opciones de la línea de comandos.

Crítico: Permite la ejecución de comandos no autorizados.

La puntuación EPSS de 0.036 indica una baja probabilidad de explotación.

La validación tools.exec.safeBins de OpenClaw para sort podría omitirse a través de abreviaturas de opciones largas de GNU en el modo de lista de permitidos. Esto permitió rutas de ejecución no deseadas que deberían haber requerido aprobación.

Cómo solucionar CVE-2026-28363 en OpenClaw

Parchear ahora

1.Actualice OpenClaw a la versión 2026.2.23 o posterior.

Actualizar OpenClaw

npm update openclaw

Solución temporal: Evite el uso de abreviaturas de opciones largas de GNU en las configuraciones del modo de lista de permitidos.

NextGuard marca automáticamente CVE-2026-28363 si OpenClaw aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.

CVE-2026-28472: Omisión de la verificación de la identidad del dispositivo de conexión de la puerta de enlace de OpenClaw

CVSS9.8

Versiones afectadasLas versiones de OpenClaw 2026.2.1 y anteriores se ven afectadas en implementaciones donde se puede acceder al WebSocket de la puerta de enlace y las conexiones se pueden autorizar a través de Tailscale sin validar el secreto compartido.

Crítico: Permite el acceso no autorizado a la puerta de enlace.

La puntuación EPSS de 0.054 sugiere una baja probabilidad de explotación.

El protocolo de enlace de conexión WebSocket de la puerta de enlace en OpenClaw podría omitir las comprobaciones de identidad del dispositivo si un auth.token estaba presente pero aún no validado. Esto permitió que los clientes se conectaran sin la verificación adecuada de la identidad del dispositivo.

Cómo solucionar CVE-2026-28472 en OpenClaw

Parchear ahora

1.Actualice OpenClaw a la versión 2026.2.2 o posterior.

Actualizar OpenClaw

npm update openclaw

Solución temporal: Asegúrese de que solo se pueda acceder al WebSocket de la puerta de enlace desde una red de confianza y por usuarios de confianza. Restrinja los usuarios/ACL de Tailnet cuando utilice Tailscale Serve.

CVE-2026-32030: Divulgación de archivos confidenciales de OpenClaw a través de stageSandboxMedia

CVSS7.5

Versiones afectadasLas versiones de OpenClaw hasta la 2026.2.17 inclusive se ven afectadas cuando los archivos adjuntos de iMessage están habilitados, el modo de archivo adjunto remoto está activo y un atacante puede inyectar/manipular los metadatos de la ruta del archivo adjunto.

Alto: Permite la divulgación de archivos confidenciales.

La puntuación EPSS de 0.068 indica una baja probabilidad de explotación.

La función `stageSandboxMedia` de OpenClaw aceptaba rutas absolutas arbitrarias cuando se habilitaba la búsqueda remota de archivos adjuntos de iMessage, lo que conducía a la divulgación de archivos confidenciales. Un atacante podría influir en los metadatos de la ruta del archivo adjunto entrante para divulgar archivos legibles por el proceso de OpenClaw en el host remoto.

Cómo solucionar CVE-2026-32030 en OpenClaw

Parchear en 7 días

1.Actualice OpenClaw a la versión 2026.2.19 o posterior.
2.Si no se requieren archivos adjuntos remotos, deshabilite la ingesta de archivos adjuntos de iMessage.
3.Ejecute OpenClaw con el mínimo privilegio en el host remoto.

Actualizar OpenClaw

npm update openclaw

Solución temporal: Deshabilite la ingesta de archivos adjuntos de iMessage si no se requieren archivos adjuntos remotos. Ejecute OpenClaw con el mínimo privilegio en el host remoto.

CVE-2026-32056: La inyección de entorno de inicio de shell de OpenClaw omite la lista de permitidos de system.run

CVSS7.5

Versiones afectadasLas versiones de OpenClaw 2026.2.21-2 y anteriores se ven afectadas. Esta vulnerabilidad se puede explotar si un atacante puede controlar las variables de entorno HOME o ZDOTDIR.

Alto: Permite la ejecución remota de código.

La puntuación EPSS de 0.143 sugiere una probabilidad moderada de explotación.

La sanitización del entorno `system.run` de OpenClaw permitió anulaciones del entorno de inicio de shell (HOME, ZDOTDIR), lo que condujo a la inyección de comandos. Los atacantes podrían ejecutar código arbitrario controlando los archivos de inicio de shell antes de los cuerpos de comandos evaluados en la lista de permitidos.

Cómo solucionar CVE-2026-32056 en OpenClaw

Parchear en 24h

1.Actualice OpenClaw a la versión 2026.2.22 o posterior.

Actualizar OpenClaw

npm update openclaw

Manténgase a la vanguardia de las vulnerabilidades de nodejs

Detecte y corrija de forma proactiva las vulnerabilidades en sus proyectos de nodejs. Utilice NextGuard para supervisar sus dependencias de nodejs y recibir alertas sobre nuevas CVE.

Comparar planes

Preguntas frecuentes

Se han abordado múltiples vulnerabilidades en las versiones recientes de OpenClaw. Es crucial actualizar a las últimas versiones para garantizar la seguridad de sus aplicaciones. Vea todas las vulnerabilidades de nodejs.

Temas relacionados

nodejsvulnerabilitysecurityopenclawpatch