Se ha descubierto una falla de seguridad de alta gravedad en Ley abierta (anteriormente denominadas Clawdbot y Moltbot) que podían permitir la ejecución remota de código (RCE) a través de un enlace malintencionado creado.
El problema, que se rastrea como CVE-2026-25253 (puntuación CVSS: 8,8), se ha abordado en versión 2026.1.29 lanzado el 30 de enero de 2026. Se ha descrito como una vulnerabilidad de exfiltración de tokens que compromete totalmente la puerta de enlace.
«La interfaz de usuario de Control confía en GatewayURL desde la cadena de consulta sin validación y se conecta automáticamente durante la carga, enviando el token de puerta de enlace almacenado a la carga útil de conexión de WebSocket», dijo Peter Steinberger, creador y mantenedor de OpenClaw dijo en un aviso.
«Hacer clic en un enlace creado o visitar un sitio malintencionado puede enviar el token a un servidor controlado por un atacante. A continuación, el atacante puede conectarse a la puerta de enlace local de la víctima, modificar la configuración (entorno limitado, políticas de herramientas) e invocar acciones privilegiadas, lo que le permite obtener un RCE con un solo clic».
OpenClaw es un asistente personal de inteligencia artificial (IA) autónomo de código abierto que se ejecuta localmente en los dispositivos de los usuarios y se integra con una amplia gama de plataformas de mensajería. Aunque se lanzó inicialmente en noviembre de 2025, el proyecto ha ganado popularidad rápidamente en las últimas semanas, y su repositorio de GitHub ha superado las 149 000 estrellas en el momento de escribir este artículo.
«OpenClaw es una plataforma de agente abierta que se ejecuta en tu máquina y funciona desde las aplicaciones de chat que ya utilizas», Steinberger dijo . «A diferencia de los asistentes de SaaS, en los que sus datos residen en los servidores de otra persona, OpenClaw se ejecuta donde usted elija: portátil, laboratorio doméstico o VPS. Su infraestructura. Tus llaves. Sus datos».
Mav Levin, investigador de seguridad fundador de Depthfirst, a quien se le atribuye el mérito de haber descubierto la deficiencia, dijo se puede aprovechar para crear una cadena de exploits de RCE con un solo clic que solo tarda milisegundos después de que la víctima visite una sola página web maliciosa.
El problema es que hacer clic en el enlace a esa página web es suficiente para desencadenar un ataque de secuestro de WebSocket entre sitios porque el servidor de OpenClaw no valida el encabezado de origen de WebSocket. Esto hace que el servidor acepte solicitudes de cualquier sitio web, lo que evita de manera efectiva las restricciones de la red localhost.
Una página web malintencionada puede aprovechar el problema para ejecutar JavaScript del lado del cliente en el navegador de la víctima, lo que puede recuperar un token de autenticación, establecer una conexión WebSocket con el servidor y usar el token robado para eludir la autenticación e iniciar sesión en la instancia de OpenClaw de la víctima.
Para empeorar las cosas, al aprovechar los alcances privilegiados operator.admin y operator.approvals del token, el atacante puede usar la API para deshabilitar la confirmación del usuario configurando «exec.approvals.set» en «desactivado» y escapar del contenedor utilizado para ejecutar las herramientas de shell configurando «tools.exec.host» en «gateway».
«Esto obliga al agente a ejecutar comandos directamente en la máquina host, no dentro de un contenedor Docker», explica Levin. «Por último, para lograr la ejecución arbitraria de comandos, el JavaScript del atacante ejecuta una solicitud node.invoke».
Steinberger señaló en el aviso que «la vulnerabilidad es explotable incluso en instancias configuradas para escuchar únicamente en bucle invertido, ya que el navegador de la víctima inicia la conexión saliente».
«Afecta a cualquier implementación de Moltbot en la que un usuario se haya autenticado en la interfaz de usuario de control. El atacante obtiene acceso a nivel de operador a la API de la puerta de enlace, lo que permite realizar cambios arbitrarios en la configuración y ejecutar código en el host de la puerta de enlace. El ataque funciona incluso cuando la puerta de enlace se conecta a un bucle invertido, ya que el navegador de la víctima actúa como puente».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS