Plataforma
nodejs
Componente
openclaw
Corregido en
2026.2.15
2026.2.14
La extensión Feishu de OpenClaw presenta una vulnerabilidad que permite a un atacante controlar los valores de mediaUrl, tratándolos como rutas de archivos locales y leyéndolos directamente. Esto puede resultar en la exfiltración de archivos confidenciales del sistema. La vulnerabilidad afecta a versiones anteriores a 2026.2.14 y ha sido resuelta en la versión 2026.2.14 o superior.
Un atacante que pueda influir en las llamadas a herramientas (directamente o a través de inyección de prompts) puede exfiltrar archivos locales. Esto se logra proporcionando rutas de archivos como /etc/passwd como el valor de mediaUrl. La vulnerabilidad permite el acceso no autorizado a información sensible almacenada en el sistema de archivos, como contraseñas, claves de configuración y otros datos confidenciales. El impacto potencial es significativo, ya que un atacante podría comprometer la integridad y confidencialidad del sistema.
Esta vulnerabilidad fue publicada el 2026-02-17. No se ha confirmado la explotación activa en entornos reales, pero la disponibilidad de la vulnerabilidad y su relativa simplicidad la convierten en un objetivo potencial. No se ha añadido a KEV a la fecha. La probabilidad de explotación se considera media debido a la facilidad de manipulación de los parámetros de entrada.
Applications and systems utilizing the OpenClaw Node.js extension, particularly those with prompt injection vulnerabilities or inadequate input validation, are at risk. This includes environments where the extension is used to process user-supplied data or interact with external services.
• nodejs / supply-chain:
npm list opencLaw• nodejs / supply-chain:
npm audit opencLaw• generic web:
curl -I 'http://your-application/sendMediaFeishu' # Check for endpoint exposuredisclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar OpenClaw a la versión 2026.2.14 o superior. Esta actualización elimina la lectura directa de archivos locales desde la ruta vulnerable y redirige la carga de medios a través de un proceso más seguro. Si la actualización causa problemas de compatibilidad, considere implementar reglas de firewall o proxy para bloquear el acceso no autorizado a la funcionalidad sendMediaFeishu. Verifique después de la actualización que la funcionalidad sendMediaFeishu no permite la lectura de archivos locales al intentar enviar un archivo con una ruta de archivo conocida.
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de divulgación de archivos locales al restringir el acceso directo a archivos locales y utilizar helpers reforzados para la carga de medios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26321 is a Local File Inclusion vulnerability in the OpenClaw Node.js extension, allowing attackers to read local files via manipulated media URLs.
You are affected if you are using OpenClaw versions prior to 2026.2.14 and are vulnerable to prompt injection or have inadequate input validation.
Upgrade OpenClaw to version 2026.2.14 or later. Implement stricter input validation on the mediaUrl parameter as a temporary workaround.
Currently, there is no confirmed active exploitation of CVE-2026-26321, but the vulnerability's nature warrants immediate attention.
Refer to the official OpenClaw project documentation and security advisories for the latest information and updates regarding CVE-2026-26321.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.