CVE-2026-42432: Vulnerabilidad de Escalado de Privilegios en OpenClaw

Descripción de la Vulnerabilidad

La vulnerabilidad CVE-2026-42432 afecta a OpenClaw antes de la versión 2026.4.8, permitiendo a los nodos previamente emparejados reconectarse con comandos de ejecución (exec-capable) sin requerir el escopo de operador.admin. Esto permite a atacantes bypassar la autenticación de re-pareamiento para ejecutar comandos privilegiados en el sistema local del asistente.

Sistemas Afectados

La vulnerabilidad afecta a las versiones anteriores a 2026.4.8 del software OpenClaw, que es un componente de gestión de dispositivos o sistemas IoT, según la descripción proporcionada. No se especifican detalles adicionales sobre el entorno operativo o el tipo de dispositivo.

Impacto y Explotabilidad

La vulnerabilidad tiene un CVSS Score de 7.8 (HIGH), lo que indica un alto nivel de gravedad. El vector de riesgo es CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, lo que significa que requiere privilegios del usuario (L), no necesita interacción directa (N) y permite la ejecución de comandos con alto impacto en confidencialidad, integridad y disponibilidad.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La mitigación más efectiva es actualizar OpenClaw a la versión 2026.4.8 o posterior, donde se corrige el problema de escalado de privilegios. Se recomienda realizar revisiones periódicas de las versiones de los sistemas y aplicaciones críticas para garantizar la seguridad. Si no es posible actualizar, se sugiere limitar el acceso a cuentas con escopo admin y validar siempre las conexiones de emparejamiento.