CVE-2026-41404: Vulnerabilidad de Escalada de Privilegios en OpenClaw

Description de la Vulnerabilidad

La vulnerabilidad CVE-2026-41404 afecta a la versión OpenClaw antes de 2026.3.31, donde existe un error en el manejo de los scopes (alcances) durante el modo de autenticación confiable (trusted-proxy). Este fallo permite a atacantes escalada de privilegios mediante la declaración de alcancos operator en clientes no relacionados con Control-UI. Esto permitiría que los alcancos auto-declarados persistan en rutas de autenticación identificables, otorgando acceso no autorizado al nivel de privilegio operator.admin.

Sistemas Afectados

La vulnerabilidad está relacionada con el software OpenClaw, específicamente en versiones anteriores a la 2026.3.31. No se especifican sistemas operativos o aplicaciones adicionales afectadas, pero se enfoca en el componente de autenticación confiable del software.

Impacto y Explotabilidad

El CVSS Score asignado es 8.8 (HIGH), lo que indica un riesgo significativo. El vector de evaluación es: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H Esto refleja que el ataque no requiere interacción del usuario (UI:N), tiene un alto nivel de confianza (PR:L) y permite la explotación sin necesidad de credenciales. Los ataques pueden llevar a la pérdida de confidencialidad, alteración de datos e incluso la denegación de servicio (DoS).

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigacion y Parches

La solución recomendada es actualizar OpenClaw a la versión 2026.3.31 o posterior, donde se corrija el error en el manejo de los scopes durante la autenticación confiable. Los usuarios deben verificar las actualizaciones oficiales del software para aplicar parches seguros y evitar la explotación de esta vulnerabilidad.