Se han descubierto múltiples vulnerabilidades críticas en OpenClaw, que pueden provocar la ejecución remota de código y la escalada de privilegios. Estas vulnerabilidades afectan a las versiones anteriores a 2026.3.11. Se recomienda encarecidamente aplicar parches de inmediato para mitigar estos riesgos.
Estos CVE tienen puntuaciones de gravedad críticas, lo que indica un alto riesgo de explotación y compromiso del sistema.
¿Qué es Openclaw?
CVE-2026-28466: Ejecución remota de código a través de la omisión de la aprobación de invocación de nodo
Gravedad crítica: ejecución remota de código con requisitos previos mínimos.
La puntuación EPSS de 0,099 indica una probabilidad moderada de explotación.
Esta vulnerabilidad permite a los atacantes con credenciales de puerta de enlace válidas omitir la puerta de enlace de aprobación de ejecución para los comandos system.run. Al inyectar campos de control de aprobación, los atacantes pueden ejecutar comandos arbitrarios en los hosts de nodos conectados.
Cómo solucionar CVE-2026-28466 en Openclaw
Parchear ahora- 1.Actualice OpenClaw a la versión 2026.2.14 o posterior.
composer update openclawSolución temporal: No se conoce ninguna solución alternativa.
NextGuard marca automáticamente CVE-2026-28466 si Openclaw aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.
CVE-2026-28470: Omisión de la lista de permitidos de ejecución a través de la sustitución de comandos entre comillas dobles
Gravedad crítica: permite la ejecución de comandos arbitrarios a través de la omisión de la lista de permitidos.
La puntuación EPSS de 0,092 indica una probabilidad moderada de explotación.
Esta vulnerabilidad permite a los atacantes omitir la lista de permitidos de aprobaciones de ejecución inyectando sintaxis de sustitución de comandos dentro de cadenas entre comillas dobles. Los atacantes pueden incrustar $() o comillas inversas sin escape para ejecutar comandos no autorizados.
Cómo solucionar CVE-2026-28470 en Openclaw
Parchear ahora- 1.Actualice OpenClaw a la versión 2026.2.2 o posterior.
composer update openclawSolución temporal: Deshabilite las aprobaciones de ejecución o desinfecte cuidadosamente la entrada para evitar la sustitución de comandos.
NextGuard marca automáticamente CVE-2026-28470 si Openclaw aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.
CVE-2026-32922: Escalada de privilegios a través del alcance no validado en device.token.rotate
Gravedad crítica: permite la escalada de privilegios al nivel de administrador.
La puntuación EPSS de 0,214 indica una probabilidad relativamente alta de explotación.
Esta vulnerabilidad permite a los atacantes con alcance operator.pairing acuñar tokens con alcances más amplios. Al no restringir los alcances recién acuñados, los atacantes pueden obtener tokens operator.admin para dispositivos emparejados.
Cómo solucionar CVE-2026-32922 en Openclaw
Parchear ahora- 1.Actualice OpenClaw a la versión 2026.3.11 o posterior.
composer update openclawSolución temporal: Restrinja el acceso a la API device.token.rotate y valide cuidadosamente los alcances.
NextGuard marca automáticamente CVE-2026-32922 si Openclaw aparece en alguno de sus proyectos supervisados; no se requiere búsqueda manual.
Manténgase a la vanguardia de otras vulnerabilidades
Identifique y corrija de forma proactiva las vulnerabilidades en sus otras dependencias. Supervise sus otras dependencias para evitar posibles exploits.
Comparar planesPreguntas frecuentes
Estas vulnerabilidades representan un riesgo significativo para las implementaciones de OpenClaw. Asegúrese de haber aplicado los parches necesarios y continúe viendo todas las demás vulnerabilidades para mantener un entorno seguro. La supervisión periódica de sus dependencias es crucial.
Temas relacionados