CVE-2026-42423
Descripción de la Vulnerabilidad
La vulnerabilidad CVE-2026-42423 afecta a OpenClaw antes de la versión 2026.4.8. Este problema surge debido a un mecanismo de fallback en tiempo de aprobación que permite a los atacantes evitar las restricciones de aprobación explícita para comandos de evaluación inline (inline eval) en servidores de gateway y nodos de ejecución. Este mecanismo de timeout fallback permite a un atacante ejecutar código no autorizado, bypassando la seguridad diseñada para requerir una aprobación explícita del usuario. La vulnerabilidad se centra en el control de acceso y la ejecución remota de código (RCE), lo que podría permitir la infección de sistemas o el robo de datos sensibles.Sistemas Afectados
La vulnerabilidad afecta a las versiones anteriores a 2026.4.8 del software OpenClaw, específicamente en entornos que utilizan servidores de gateway y nodos de ejecución. No se especifican otros sistemas o componentes afectados, pero se recomienda revisar la documentación oficial para confirmar los detalles.Impacto y Explotabilidad
El CVSS Score asociado a esta vulnerabilidad es 7.5 (HIGH), lo que indica un impacto significativo en seguridad y disponibilidad. El vector de riesgo es:CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Esto refleja una vulnerabilidad con alto nivel de confianza (AV:N - Atacante no necesita acceso físico), alta complejidad (AC:H - Alto), bajo privilegio (PR:L - Lleva privilegios del usuario), sin interfaz de usuario (UI:N), sin seguridad (S:U) y un impacto crítico en confidencialidad, integridad e availability.
La explotabilidad se basa en la utilización de un fallback temporal que permite a los atacantes ejecutar código sin permisos válidos, lo que podría llevar a la infección de sistemas o el acceso no autorizado a recursos críticos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.