Plataforma
nodejs
Componente
openclaw
Corregido en
2026.2.15
2026.1.25
2026.2.14
La vulnerabilidad CVE-2026-26317 es una falla de Cross-Site Request Forgery (CSRF) presente en openclaw, una biblioteca para el control del navegador. Esta falla permite a sitios web maliciosos desencadenar cambios de estado no autorizados en el navegador local de un usuario, como abrir pestañas o modificar cookies, si el servicio de control del navegador es accesible en loopback. Afecta a las versiones npm de openclaw menores o iguales a la versión vulnerable. La solución es actualizar a la versión 2026.2.14.
Un atacante puede explotar esta vulnerabilidad para realizar acciones no autorizadas en el navegador de la víctima sin su conocimiento. Al alojar código malicioso en un sitio web, el atacante puede crear solicitudes que, cuando son ejecutadas por el navegador de la víctima, modificarán el estado del navegador controlado por openclaw. Esto podría incluir la apertura de nuevas pestañas con sitios web maliciosos, la modificación de cookies sensibles o incluso el control de la interfaz del navegador. Aunque el binding de loopback reduce la exposición remota, no impide que las solicitudes iniciadas por el navegador desde orígenes maliciosos afecten al sistema. La severidad de esta vulnerabilidad radica en su potencial para comprometer la seguridad y la privacidad del usuario.
La vulnerabilidad CVE-2026-26317 fue publicada el 18 de febrero de 2026. No se ha añadido al KEV de CISA ni se han reportado campañas de explotación activas. Aunque no se han identificado públicamente pruebas de concepto (PoCs) específicas, la naturaleza de la vulnerabilidad CSRF implica que es probable que se desarrollen en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations and developers utilizing OpenClaw for automated browser testing, web scraping, or other browser control tasks are at risk. Specifically, those using OpenClaw in environments where users frequently browse untrusted websites or are susceptible to social engineering attacks are particularly vulnerable. Shared hosting environments where multiple applications share the same Node.js instance could also amplify the risk.
• nodejs: Monitor for unusual browser activity originating from external websites. Use ps aux | grep openclaw to identify running OpenClaw processes. Examine Node.js application logs for suspicious requests to OpenClaw endpoints.
• generic web: Inspect browser developer tools network requests for unexpected POST requests to OpenClaw endpoints. Check browser extensions for potentially malicious code.
• generic web: Review CSP headers to ensure they are properly configured to restrict cross-origin requests.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-26317 es actualizar a la versión 2026.2.14 de openclaw. Si la actualización no es inmediatamente posible, se recomienda revisar la configuración de openclaw para asegurar que el servicio de control del navegador no esté expuesto a orígenes no confiables. Implementar políticas de seguridad de contenido (CSP) estrictas puede ayudar a mitigar el riesgo de ataques CSRF al restringir las fuentes de las que se pueden cargar los recursos. Además, monitorear los logs del servidor en busca de solicitudes sospechosas que puedan indicar un intento de explotación es crucial. Después de la actualización, confirmar la mitigación verificando que las solicitudes cross-origin no puedan modificar el estado del navegador.
Actualice OpenClaw a la versión 2026.2.14 o posterior. Como mitigación alternativa, habilite la autenticación del control del navegador (token/contraseña) y evite ejecutarlo con la autenticación deshabilitada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26317 is a CSRF vulnerability in OpenClaw allowing malicious websites to trigger unauthorized actions within a victim's browser control plane.
You are affected if you are using OpenClaw versions less than or equal to the vulnerable release. Check your installed version and upgrade accordingly.
Upgrade OpenClaw to version 2026.2.14 or later. Consider implementing strict CSP directives as an interim measure.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept code.
Refer to the OpenClaw project's official advisory channels and GitHub repository for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.