Se ha revelado una falla de seguridad de alta gravedad en OpenClaw (anteriormente conocido como Clawdbot y Moltbot) que podría permitir la ejecución remota de código (RCE) a través de un enlace malicioso diseñado.
Este problema se rastrea como CVE-2026-25253 (puntaje CVSS: 8.8) y se resuelve en la versión 2026.1.29, lanzada el 30 de enero de 2026. El problema se describe como una vulnerabilidad de extracción de tokens que podría comprometer toda la puerta de enlace.
«La interfaz de usuario de control confiará en la URL de la puerta de enlace de la cadena de consulta sin validación, se conectará automáticamente durante la carga y enviará el token de la puerta de enlace almacenado a la carga útil de la conexión WebSocket», dijo el creador y mantenedor de OpenClaw, Peter Steinberger, en el aviso.
«Hacer clic en un enlace diseñado o visitar un sitio malicioso puede enviar un token a un servidor controlado por un atacante. Luego, el atacante puede conectarse a la puerta de enlace local de la víctima, modificar la configuración (zona de pruebas, políticas de herramientas) e invocar acciones privilegiadas para lograr RCE con un solo clic».
OpenClaw es un asistente personal autónomo de inteligencia artificial (IA) de código abierto que se ejecuta localmente en el dispositivo del usuario y se integra con una amplia gama de plataformas de mensajería. El proyecto se lanzó por primera vez en noviembre de 2025, pero ha ganado rápidamente popularidad en las últimas semanas, y el repositorio de GitHub tenía más de 149.000 estrellas en el momento de escribir este artículo.
«OpenClaw es una plataforma de agente abierta que se ejecuta en su máquina y funciona desde las aplicaciones de chat que ya utiliza», dijo Steinberger. «A diferencia de los asistentes SaaS, donde sus datos residen en el servidor de otra persona, OpenClaw se ejecuta donde usted elija, ya sea en su computadora portátil, laboratorio doméstico o VPS. Su infraestructura, claves y datos».
El investigador de seguridad Mab Levin, fundador de DepthFirst, a quien se le atribuye el descubrimiento de la falla, dijo que la vulnerabilidad podría explotarse para crear una cadena de explotación RCE con un solo clic en solo milisegundos después de que una víctima visita una única página web maliciosa.
El problema es que los servidores de OpenClaw no validan los encabezados de origen de WebSocket, por lo que simplemente hacer clic en un enlace a esa página web es suficiente para desencadenar un ataque de secuestro de WebSocket entre sitios. Esto permite que el servidor acepte solicitudes de cualquier sitio web, evitando efectivamente las limitaciones de la red de localhost.
Una página web maliciosa podría utilizar este problema para ejecutar JavaScript del lado del cliente en el navegador de la víctima, obtener un token de autenticación, establecer una conexión WebSocket con el servidor y usar el token robado para evitar la autenticación e iniciar sesión en la instancia OpenClaw de la víctima.
Peor aún, al aprovechar los ámbitos privilegiados del token operator.admin y operator.approvals, un atacante puede usar la API para deshabilitar la verificación del usuario configurando «exec.approvals.set» en «off» y escapar del contenedor usado para ejecutar herramientas de shell configurando «tools.exec.host» en «gateway».
«Esto obliga al agente a ejecutar comandos directamente en la máquina host, en lugar de hacerlo dentro de un contenedor Docker», afirma Levin. «Finalmente, para ejecutar comandos arbitrarios, el JavaScript del atacante realiza una solicitud node.invoke».
«Debido a que el navegador de la víctima inicia la conexión saliente, esta vulnerabilidad es explotable incluso en instancias configuradas para escuchar solo en loopback», escribió Steinberger en el aviso.
«Esto afecta a todas las implementaciones de Moltbot donde el usuario está autenticado en la interfaz de usuario de control. El atacante obtiene acceso a nivel de operador a la API de la puerta de enlace, lo que le permite realizar cambios de configuración arbitrarios o ejecutar código en el host de la puerta de enlace. El navegador de la víctima actúa como un puente, por lo que el ataque funciona incluso si la puerta de enlace está obligada a realizar un bucle invertido».
Source link
