Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Apple demanda a OpenAI por robo de secretos comerciales

China se está poniendo al día con los cohetes reutilizables de Elon Musk

Progreso en la instrucción a los clientes de ShareFile para que apaguen los controladores de zonas de almacenamiento debido a una amenaza a la seguridad

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Los investigadores detallan la cadena de ataque de WhatsApp al host utilizando tres fallas de OpenClaw
Identidad

Los investigadores detallan la cadena de ataque de WhatsApp al host utilizando tres fallas de OpenClaw

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 10, 2026No hay comentarios3 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Rabi Lakshmanan10 de julio de 2026Seguridad/vulnerabilidades de la IA

Se han revelado detalles sobre tres fallas de seguridad que actualmente están parcheadas en el asistente personal de inteligencia artificial (IA) OpenClaw. Una explotación exitosa podría permitir el robo de credenciales, la escalada de privilegios o la ejecución de código arbitrario en el host.

Una breve descripción de las vulnerabilidades de alta gravedad es la siguiente:

GHSA-hjr6-g723-hmfm (Puntuación CVSS: 8,8): una inyección de comando del sistema operativo y una lista incompleta de vulnerabilidades de entrada no permitidas que afectan los mecanismos de filtrado del entorno de ejecución del host podrían potencialmente permitir que se tomen o persistan acciones más allá de la autorización prevista de la persona que llama. GHSA-9969-8g9h-rxwm (Puntuación CVSS: 8,8): una inyección de comando del sistema operativo y una lista incompleta de vulnerabilidades de entrada no permitidas afectan los mecanismos de filtrado del entorno de ejecución del host, permitiendo potencialmente que se realicen o persistan acciones más allá de la autorización prevista de la persona que llama. GHSA-575v-8hfq-m3mc (Puntuación CVSS: 8,4): las vulnerabilidades de recorrido de ruta y seguimiento de enlaces podrían permitir que los montajes de enlace de sandbox omitan las comprobaciones de la lista de denegación del directorio principal y realicen acciones que deberían protegerse mediante comprobaciones de políticas o autorizaciones más estrictas.

Las tres deficiencias se resolvieron en la versión 2026.6.6 de OpenClaw.

En una serie de avisos publicados la semana pasada, los mantenedores de OpenClaw dijeron que «el impacto práctico depende de la configuración del operador y de si entradas no confiables pueden llegar a ese camino».

Sin embargo, el investigador de seguridad Chinmohan Nayak, a quien se le atribuye haber descubierto e informado el problema, dijo en un informe compartido con The Hacker News que estos problemas podrían usarse para desencadenar la ejecución del código host de mensajes externos enviados a través de WhatsApp.

A diferencia de la vulnerabilidad Claw Chain que Cyera reveló en mayo, el error recientemente identificado no requiere que un atacante se afiance con anticipación para filtrar datos confidenciales, abrir una puerta trasera persistente y ejecutar código remoto arbitrario para facilitar el escape a un host.

«`getBlockedReasonForSourcePath()` comprueba si la ruta de origen se encuentra en una ruta bloqueada», explicaron los investigadores para GHSA-575v-8hfq-m3mc. «Pero nunca comprueba lo contrario, es decir, si la ruta bloqueada se encuentra debajo del código fuente (sin pasar por el directorio principal)».

Específicamente, la lista de denegación de montaje de enlace bloquea directorios como «~/.ssh», «~/.aws» y «~/.gnupg», pero permite montar el directorio principal «/home» o «/var», comprometiendo efectivamente los bloques individuales.

«Si monta /home en un contenedor, puede leer las claves SSH, las credenciales de AWS y los secretos GPG de todos los usuarios», afirma Nayak. «Montar /var proporciona un socket Docker, lo que significa que el host puede escapar completamente del ‘sandbox'».

Además de actualizar OpenClaw a la última versión, recomendamos habilitar el modo sandbox en todas las sesiones no principales, eliminar «exec» de la lista de herramientas permitidas del agente habilitado para el canal y monitorear los comandos git clone que contienen el protocolo auxiliar externo «ext::», que puede explotarse para ejecutar comandos arbitrarios del sistema.

«Antes de actualizar, limite las funciones afectadas a operadores confiables o desactívelas si no son necesarias», dijo OpenClaw. «Las mejoras generales incluyen reducir la lista permitida de canales y herramientas, evitar compartir una única puerta de enlace entre usuarios que no confían entre sí y desactivar las funciones afectadas si no son necesarias».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEl nuevo MODBEACON RAT utiliza transmisión gRPC para tráfico C2 cifrado
Next Article La UE amenaza con multar a Meta por funciones adictivas en Facebook e Instagram
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Progreso en la instrucción a los clientes de ShareFile para que apaguen los controladores de zonas de almacenamiento debido a una amenaza a la seguridad

julio 10, 2026

La violación de Injective Labs GitHub impulsa el paquete npm para robar claves de billetera

julio 10, 2026

Seis nuevas fallas en U-Boot podrían permitir que una imagen maliciosa bloquee su dispositivo o ejecute código al iniciar

julio 10, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Apple demanda a OpenAI por robo de secretos comerciales

China se está poniendo al día con los cohetes reutilizables de Elon Musk

Progreso en la instrucción a los clientes de ShareFile para que apaguen los controladores de zonas de almacenamiento debido a una amenaza a la seguridad

La violación de Injective Labs GitHub impulsa el paquete npm para robar claves de billetera

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.