Investigadores de ciberseguridad han revelado un conjunto de cuatro fallas de seguridad en OpenClaw que podrían encadenarse para lograr robo de datos, escalada de privilegios y persistencia.
Las vulnerabilidades, denominadas colectivamente
Cadena de garras
de Cyera, puede permitir que un atacante establezca un punto de apoyo, exponga datos confidenciales y coloque puertas traseras. A continuación se incluye una breve descripción de los defectos:
-
CVE-2026-44112
(Puntuación CVSS: 9,6/6,3) – Una vulnerabilidad de condición de carrera de tiempo de verificación/tiempo de uso (TOCTOU) en el
OpenShell
backend de sandbox administrado que permite a los atacantes eludir las restricciones del sandbox y redirigir escrituras fuera de la raíz de montaje deseada. -
CVE-2026-44113
(Puntuación CVSS: 7.7/6.3) – Una vulnerabilidad de condición de carrera de TOCTOU en OpenShell que permite a los atacantes eludir las restricciones del sandbox y leer archivos fuera de la raíz de montaje deseada.
-
CVE-2026-44115
(Puntuación CVSS: 8,8): una lista incompleta de vulnerabilidades de entradas no permitidas que permite a los atacantes eludir la validación de la lista permitida mediante la incorporación de tokens de expansión de shell en un
aquí documento
(heredoc) cuerpo para ejecutar comandos no aprobados en tiempo de ejecución. -
CVE-2026-44118
(Puntuación CVSS: 7,8): una vulnerabilidad de control de acceso inadecuado que podría permitir que los clientes de loopback que no son propietarios se hagan pasar por un propietario para elevar sus privilegios y obtener control sobre la configuración de la puerta de enlace, la programación cron y la gestión del entorno de ejecución.
Cyera dijo que la explotación exitosa de CVE-2026-44112 podría permitir a un atacante alterar la configuración, instalar puertas traseras y establecer un control persistente sobre el host comprometido, mientras que CVE-2026-44113 podría usarse como arma para leer archivos del sistema, credenciales y artefactos internos.
La cadena de explotación se desarrolla en cuatro pasos:
- Un complemento malicioso, una inyección rápida o una entrada externa comprometida obtienen la ejecución del código dentro del entorno limitado de OpenShell.
- Aproveche CVE-2026-44113 y CVE-2026-44115 para exponer credenciales, secretos y archivos confidenciales.
- Explote CVE-2026-44118 para obtener control a nivel de propietario del tiempo de ejecución del agente.
- Utilice CVE-2026-44112 para instalar puertas traseras o realizar cambios de configuración y configurar la persistencia.
La causa principal de CVE-2026-44118, según la empresa de ciberseguridad, surge del hecho de que OpenClaw confía en un indicador de propiedad controlado por el cliente llamado senderIsOwner, que indica si la persona que llama está autorizada para utilizar herramientas exclusivas del propietario, sin validarla con la sesión autenticada.
«El tiempo de ejecución de bucle invertido de MCP ahora emite tokens de propietario y portador no propietario separados y deriva senderIsOwner exclusivamente de qué token autenticó la solicitud», OpenClaw detalló las correcciones en un aviso para la falla. «El encabezado remitente-propietario falsificado ya no se emite ni es confiable».
Tras una divulgación responsable, las cuatro vulnerabilidades se abordaron en la versión 2026.4.22 de OpenClaw. Al investigador de seguridad Vladimir Tokarev se le atribuye el mérito de descubrir e informar los problemas. Se recomienda a los usuarios que actualicen a la última versión para mantenerse protegidos contra posibles amenazas.
«Al utilizar los propios privilegios del agente como arma, un adversario se mueve a través del acceso a datos, la escalada de privilegios y la persistencia, utilizando al agente como sus manos dentro del entorno», dijo Cyera. «Cada paso parece el comportamiento normal de un agente según los controles tradicionales, lo que amplía el radio de explosión y dificulta significativamente la detección».
