Vulnerabilidad en OpenClaw permite ejecución remota de código con un clic
Publicado el
Descubrimiento de la vulnerabilidad en OpenClaw
Un fallo de seguridad de alta gravedad ha sido revelado en OpenClaw, anteriormente conocido como Clawdbot y Moltbot, que permite la ejecución remota de código (RCE) a través de un enlace malicioso. Esta vulnerabilidad, registrada como CVE-2026-25253 y con una puntuación CVSS de 8.8, ha sido corregida en la versión 2026.1.29, lanzada el 30 de enero de 2026.
El creador y mantenedor de OpenClaw, Peter Steinberger, explicó que se trata de una vulnerabilidad de exfiltración de tokens que puede comprometer completamente el gateway. Según Steinberger, el Control UI confía en el gatewayUrl del string de consulta sin realizar validaciones y conecta automáticamente al cargar, enviando el token de gateway almacenado en la carga del WebSocket. Al hacer clic en un enlace malicioso, el token puede ser enviado a un servidor controlado por el atacante.
Mecanismo de ataque
El investigador de seguridad Mav Levin, quien ha sido acreditado con el descubrimiento de esta vulnerabilidad, afirmó que puede ser explotada para crear una cadena de explotación RCE con un solo clic, que se activa en milisegundos tras visitar una página web maliciosa. El problema radica en que, al hacer clic en el enlace, se puede desencadenar un ataque de secuestración de WebSocket intersitio, ya que el servidor de OpenClaw no valida el header de origen del WebSocket. Esto permite que el servidor acepte solicitudes de cualquier sitio web, eludiendo así las restricciones de red de localhost.
Una página web maliciosa puede ejecutar JavaScript en el navegador de la víctima para recuperar un token de autenticación, establecer una conexión WebSocket con el servidor y utilizar el token robado para eludir la autenticación y acceder a la instancia de OpenClaw de la víctima. Además, el atacante puede aprovechar los ámbitos privilegiados operator.admin y operator.approvals para desactivar la confirmación del usuario y lograr la ejecución de comandos arbitrarios en la máquina host.
Consecuencias y recomendaciones
Steinberger advirtió que la vulnerabilidad es explotable incluso en instancias configuradas para escuchar solo en loopback, ya que es el navegador de la víctima el que inicia la conexión saliente. Esto impacta a cualquier despliegue de Moltbot donde un usuario haya autenticado en la Control UI, permitiendo al atacante obtener acceso a nivel de operador a la API del gateway y realizar cambios de configuración arbitrarios.
La explotación es particularmente crítica, ya que el atacante puede ejecutar comandos directamente en la máquina host, no dentro de un contenedor de Docker. Levin señaló que las defensas implementadas no están diseñadas para proteger contra este tipo de vulnerabilidades, lo que indica una limitación arquitectónica en el diseño de OpenClaw.
Se recomienda a los usuarios de OpenClaw actualizar a la versión más reciente lo antes posible para mitigar los riesgos asociados con esta vulnerabilidad. Mantenerse informado sobre actualizaciones de seguridad y prácticas recomendadas es esencial para proteger los sistemas de posibles ataques.