OpenClaw parchea cinco vulnerabilidades críticas que permiten escalación de privilegios y RCE

OpenClaw, el popular framework open source para orquestación de dispositivos y pasarelas de mensajería, acaba de publicar una serie de parches de emergencia que abordan cinco vulnerabilidades de seguridad distintas. Los fallos cubren un rango que va desde la escalación de privilegios hasta el bypass de autorización y la ejecución remota de código. Las versiones afectadas son anteriores a 2026.3.11, 2026.3.12 y 2026.3.13, dependiendo de la vulnerabilidad específica. La gravedad de estos fallos los convierte en una prioridad inmediata para cualquier organización que opere OpenClaw en entornos de producción, especialmente aquellas que dependen de su infraestructura de emparejamiento de dispositivos, integraciones de mensajería o listas de ejecución permitida. Los investigadores de seguridad divulgaron estos problemas de forma coordinada y responsable, y los mantenedores de OpenClaw han respondido con lanzamientos de parches escalonados durante las últimas semanas. Este artículo desglosa cada vulnerabilidad, explica el fallo técnico subyacente y proporciona orientación sobre qué deben priorizar los equipos al planificar su ruta de actualización.

Qué es OpenClaw y por qué esto importa

OpenClaw funciona como un puente entre la gestión de dispositivos IoT, las integraciones con plataformas de mensajería (Feishu, Zalo y otras) y la ejecución controlada de comandos en nodos remotos. Su arquitectura modular permite a los operadores definir tokens con alcance limitado, comandos permitidos y reglas de autorización basadas en canales. Las organizaciones lo despliegan para coordinar flotas de dispositivos, enrutar mensajes entre plataformas de chat internas y agentes automatizados, y ejecutar operaciones remotas en nodos emparejados bajo restricciones estrictas de alcance.

Las cinco vulnerabilidades divulgadas en este ciclo de parches apuntan a cada uno de estos límites de confianza fundamentales:

• Alcance de tokens de dispositivos — controla qué permisos reciben los dispositivos emparejados durante la rotación de tokens (CVE-2026-32922).
• Clasificación de eventos de mensajería — determina si los eventos entrantes de Feishu se tratan como conversaciones privadas o grupales (CVE-2026-32924).
• Listas de ejecución permitida — restringe qué comandos pueden ejecutar los nodos remotos a través de system.run en sistemas POSIX (CVE-2026-32973).
• Autorización de canales — controla qué grupos de mensajería Zalo pueden interactuar con el agente automatizado (CVE-2026-32975).
• Verificación bootstrap — asegura que los códigos de configuración de emparejamiento se consuman exactamente una vez durante la incorporación (CVE-2026-32987).

Cuando alguno de estos mecanismos de aplicación de límites falla, las consecuencias se propagan rápidamente. Una restricción de alcance rota significa que un atacante no solo lee datos que no debería — acuña tokens que le otorgan control administrativo total. Un evento de chat mal categorizado no solo filtra un mensaje — elude cada protección que el operador configuró para conversaciones grupales. Estas cinco CVEs exponen colectivamente debilidades en los límites de confianza fundamentales de OpenClaw.

CVE-2026-32922: Escalación de privilegios a través de device.token.rotate

Esta vulnerabilidad apunta al mecanismo de rotación de tokens en el corazón del sistema de emparejamiento de dispositivos de OpenClaw. Cuando un llamador con alcance operator.pairing invoca device.token.rotate, la función genera nuevos tokens para los dispositivos emparejados. El fallo crítico es que no restringe los alcances recién acuñados al conjunto de alcances actual del llamador. Dicho de otro modo, un llamador que solo posee operator.pairing puede solicitar un token que incluya operator.admin — y OpenClaw lo emitirá sin objeción alguna.

El impacto práctico es devastador. Una vez que un atacante obtiene un token operator.admin para un dispositivo emparejado, obtiene acceso a system.run — la interfaz de ejecución de comandos que permite a los operadores disparar procesos arbitrarios en nodos conectados. Este es un camino directo hacia la ejecución remota de código. Alternativamente, el token escalado otorga acceso gateway-admin, permitiendo al atacante reconfigurar el enrutamiento de mensajes, modificar listas permitidas y tomar el control efectivo de todo el despliegue de OpenClaw.

Cómo debería funcionar la restricción de alcance

En una rotación de tokens correctamente implementada, la función debe verificar que cada alcance solicitado en el nuevo token sea un subconjunto de los alcances existentes del llamador. Este es un principio fundamental de mínimo privilegio: no puedes otorgar permisos que no posees. La corrección en la versión 2026.3.11 añade validación explícita de intersección de alcances antes de emitir tokens rotados, asegurando que device.token.rotate nunca escale más allá del límite del llamador.

Escenario real: Consideremos un despliegue IoT gestionado donde técnicos de campo usan tokens operator.pairing para incorporar nuevos sensores. Antes del parche, una credencial de técnico comprometida — o un insider malicioso — podría silenciosamente acuñar tokens de administrador para cada dispositivo de la flota, y luego usar system.run para distribuir modificaciones de firmware o exfiltrar datos a través de toda la red sin activar alertas basadas en alcance.

CVE-2026-32924: Clasificación errónea de eventos de reacción en Feishu

OpenClaw se integra con Feishu (Lark) para enrutar mensajes y reacciones desde plataformas de chat hacia agentes automatizados. Al procesar eventos de reacción, el sistema comprueba el campo chat_type para determinar si el evento se originó en una conversación peer-to-peer (p2p) o en un chat grupal. Los chats grupales cuentan con protecciones adicionales: groupAllowFrom restringe qué grupos pueden activar el agente, y requireMention asegura que el agente solo responda cuando se le menciona explícitamente.

La vulnerabilidad surge cuando un evento de reacción llega con el campo chat_type completamente omitido. En lugar de tratar esto como un error o aplicar la clasificación más restrictiva por defecto, OpenClaw clasifica erróneamente el evento como una conversación p2p. Dado que las conversaciones p2p evitan las comprobaciones de groupAllowFrom y requireMention, el atacante sortea efectivamente todas las protecciones a nivel de grupo.

Ruta de explotación

Un atacante operando dentro de un espacio de trabajo Feishu puede fabricar eventos de reacción que deliberadamente omitan el campo chat_type. Estos eventos, originados en chats grupales que normalmente serían bloqueados por las reglas groupAllowFrom, se procesan en cambio como interacciones p2p. Esto significa que el atacante puede disparar comportamientos del agente desde grupos no autorizados, potencialmente alimentando entrada maliciosa a flujos de trabajo automatizados o extrayendo información que el agente solo compartiría en contextos de confianza.

Error común de desarrolladores: Tratar un campo ausente como equivalente a un valor válido específico es uno de los bugs de autorización más frecuentes en integraciones de mensajería. El patrón seguro es fallar de forma cerrada — si chat_type está ausente, rechazar el evento o aplicar la clasificación más restrictiva. La corrección en la versión 2026.3.12 implementa exactamente este enfoque.

CVE-2026-32973: Bypass de lista de ejecución permitida en POSIX

OpenClaw proporciona una lista de ejecución permitida que los operadores usan para restringir qué comandos pueden ejecutarse a través de system.run. La función de coincidencia de patrones matchesExecAllowlistPattern normaliza los patrones de entrada convirtiéndolos a minúsculas y luego aplica coincidencia estilo glob. En sistemas POSIX, esto crea dos vectores de bypass distintos.

Primero, la normalización a minúsculas destruye la sensibilidad a mayúsculas que los sistemas de archivos POSIX preservan. Un patrón destinado a permitir /usr/bin/Deploy también coincidirá con /usr/bin/deploy — y viceversa. Segundo, la coincidencia glob trata el comodín ? como cualquier carácter individual, incluyendo el separador de ruta /. Esto significa que un patrón como /usr/bin/?ool no solo coincide con /usr/bin/tool — coincide con /usr/bin//ool y potencialmente atraviesa segmentos de ruta de formas que el operador nunca pretendió.

Por qué la coincidencia glob falla aquí

La coincidencia glob estándar en la mayoría de implementaciones de shell trata ? como cualquier carácter excepto el separador de ruta. La implementación personalizada de OpenClaw no aplica esta restricción. La sobrecoincidencia permite a los atacantes construir rutas que se filtran a través de los patrones de la lista permitida y ejecutar binarios en ubicaciones inesperadas. Combinado con el problema de normalización de mayúsculas, un atacante puede referenciar ejecutables usando rutas con mayúsculas mixtas que evaden la comparación de patrones en minúsculas en sistemas de archivos sensibles a mayúsculas.

La corrección en la versión 2026.3.11 aborda ambos problemas: preserva la sensibilidad a mayúsculas durante la coincidencia en sistemas POSIX y restringe a ? de cruzar límites de ruta, alineando el comportamiento con la semántica glob esperada.

CVE-2026-32975: Coincidencia de nombres mutables en la lista permitida de Zalo

OpenClaw soporta integración con Zalo mediante un modo de lista permitida que restringe qué grupos pueden comunicarse con el agente. La vulnerabilidad reside en cómo la lista permitida identifica los grupos: realiza la coincidencia contra los nombres de visualización del grupo en lugar de identificadores de grupo estables e inmutables.

Los nombres de visualización de grupo en Zalo son mutables — cualquier miembro del grupo con permisos suficientes puede cambiarlos en cualquier momento. Un atacante puede crear un nuevo grupo, establecer su nombre de visualización para que coincida con un grupo en la lista permitida, e inmediatamente obtener autorización para enrutar mensajes al agente de OpenClaw. El grupo original de la lista permitida y el grupo falsificado se vuelven indistinguibles desde la perspectiva de OpenClaw.

El principio del identificador estable

Las decisiones de autorización siempre deben basarse en identificadores inmutables. Los IDs de grupo, IDs de canal o tokens criptográficos proporcionan referencias estables que no pueden ser falsificadas a través de acciones de interfaz. Los nombres de visualización existen para conveniencia humana y nunca deberían servir como límites de seguridad. Este es un antipatrón bien documentado, pero aparece regularmente en integraciones de plataformas de mensajería porque los nombres de visualización son fácilmente accesibles en los payloads de eventos, mientras que los IDs estables a veces requieren llamadas API adicionales para recuperarlos.

La corrección en la versión 2026.3.12 cambia la coincidencia de la lista permitida para usar los identificadores estables de grupo de Zalo, haciendo inefectiva la falsificación de nombres de visualización.

CVE-2026-32987: Reproducción de códigos bootstrap en emparejamiento de dispositivos

El flujo de emparejamiento de dispositivos en OpenClaw utiliza códigos de configuración bootstrap para verificar que un nuevo dispositivo está autorizado a unirse a la red. Cuando un dispositivo presenta un código bootstrap válido durante el emparejamiento, src/infra/device-bootstrap.ts debería validar el código exactamente una vez y luego invalidarlo. En cambio, el código permite que el mismo código bootstrap sea verificado múltiples veces antes de que se apruebe el emparejamiento.

Esta ventana de reproducción crea una condición de carrera peligrosa. Un atacante que intercepte o adivine un código bootstrap válido puede enviar múltiples solicitudes de verificación en rápida sucesión. Cada verificación exitosa puede escalar incrementalmente los alcances de emparejamiento pendientes. En el peor caso, el atacante escala hasta operator.admin, obteniendo control administrativo total sobre el dispositivo emparejado — y por extensión, sobre cualquier nodo que ese dispositivo pueda alcanzar.

Temporización y condiciones de carrera en protocolos de emparejamiento

Los protocolos de emparejamiento de dispositivos deben aplicar semántica de uso único para los códigos de verificación. El enfoque estándar es marcar el código como consumido en una operación atómica — típicamente una transacción de base de datos o un compare-and-swap en una caché distribuida — antes de proceder con cualquier asignación de alcance. La implementación de OpenClaw realizaba la comprobación de verificación y la asignación de alcance como pasos separados y no atómicos, dejando una ventana donde solicitudes concurrentes podían todas pasar la comprobación de verificación antes de que alguna de ellas consumiera el código.

Consideración de escalabilidad: En despliegues grandes donde cientos de dispositivos se emparejan simultáneamente, el endpoint de verificación de emparejamiento enfrenta una carga concurrente significativa. La corrección en la versión 2026.3.13 usa un patrón atómico de verificar-y-consumir respaldado por un almacén transaccional, que añade latencia mínima por solicitud mientras elimina la ventana de reproducción. Los equipos que ejecutan instancias distribuidas de OpenClaw deben verificar que su almacén de respaldo soporta el nivel de aislamiento de transacción requerido después de la actualización.

Comparación de vulnerabilidades y resumen de impacto

Dos de estas vulnerabilidades — CVE-2026-32922 y CVE-2026-32987 — llevan calificaciones de severidad crítica debido a su camino directo hacia la escalación de privilegios operator.admin y el potencial de ejecución remota de código. CVE-2026-32924 y CVE-2026-32973 se califican como altas porque eluden controles de seguridad explícitos, aunque la explotación requiere cierto posicionamiento dentro del entorno objetivo. CVE-2026-32975 se califica como media porque requiere que el atacante participe en el ecosistema de mensajería Zalo y cree grupos que coincidan con nombres de la lista permitida.

Potencial de cadena de ataque: combinando estas vulnerabilidades

Individualmente, cada una de estas vulnerabilidades presenta un riesgo serio. Combinadas, habilitan cadenas de ataque que podrían comprometer un despliegue completo de OpenClaw desde una posición inicial de privilegios relativamente bajos.

Consideremos este escenario: un atacante obtiene acceso inicial a través de CVE-2026-32975 falsificando un nombre de grupo Zalo, lo que le permite alimentar mensajes al agente de OpenClaw. Desde allí, explota CVE-2026-32924 para eludir requisitos de mención en canales integrados con Feishu, expandiendo su capacidad de disparar acciones del agente. Si el agente tiene acceso a operaciones de emparejamiento de dispositivos, el atacante puede aprovechar CVE-2026-32987 para reproducir códigos bootstrap y escalar a operator.admin. Con tokens de administrador en mano — quizás amplificados aún más por el fallo de rotación de tokens de CVE-2026-32922 — usa CVE-2026-32973 para eludir las listas de ejecución permitida y ejecutar comandos arbitrarios en nodos conectados.

Perspectiva de arquitectura: Esta cadena ilustra por qué la defensa en profundidad importa en cada capa. Cada vulnerabilidad por sí sola podría mitigarse con otros controles, pero cuando múltiples límites de confianza fallan simultáneamente, el radio de impacto se multiplica exponencialmente. Las organizaciones que ejecutan OpenClaw deben tratar este ciclo de parches como una actualización coordinada única en lugar de priorizar CVEs individuales de forma independiente.

Estrategia de actualización recomendada

Debido a que las correcciones abarcan tres versiones separadas (2026.3.11, 2026.3.12 y 2026.3.13), los equipos deben actualizar directamente a la versión 2026.3.13 o posterior para abordar las cinco vulnerabilidades en una sola operación. Aquí presentamos un enfoque priorizado:

1. Auditar tokens activos inmediatamente. Antes de actualizar, identificar cualquier token emitido a través de device.token.rotate que lleve alcances más allá de lo que el llamador solicitante debería haber poseído. Revocar tokens sospechosos.
2. Revisar logs de emparejamiento bootstrap. Buscar intentos de verificación repetidos sobre el mismo código bootstrap, lo que indicaría potencial explotación de CVE-2026-32987.
3. Actualizar a 2026.3.13. Desplegar la última versión parcheada en todas las instancias de OpenClaw. En despliegues distribuidos, actualizar primero los nodos gateway ya que manejan la rotación de tokens y la verificación bootstrap.
4. Validar configuraciones de Zalo y Feishu. Después de actualizar, confirmar que las listas permitidas de Zalo ahora referencian IDs de grupo estables (no nombres de visualización) y que el procesamiento de eventos de Feishu rechaza correctamente eventos sin campo chat_type.
5. Re-auditar listas de ejecución permitida. Probar los patrones de la lista permitida contra la lógica de coincidencia actualizada para asegurar que siguen permitiendo comandos previstos mientras bloquean correctamente intentos de traversal de ruta.

Preguntas frecuentes

¿Están estas vulnerabilidades siendo explotadas activamente?

Hasta la fecha de divulgación, los mantenedores de OpenClaw no han confirmado explotación activa. Sin embargo, la naturaleza detallada de los avisos y la baja complejidad requerida para la explotación — particularmente CVE-2026-32975 y CVE-2026-32924 — significa que es probable que aparezcan exploits de prueba de concepto rápidamente. Se recomienda encarecidamente tratar estos parches como urgentes.

¿Puedo parchear solo las CVEs críticas y diferir el resto?

Aunque CVE-2026-32922 y CVE-2026-32987 llevan las calificaciones de severidad individual más altas, el potencial de encadenar estas vulnerabilidades significa que dejar cualquiera sin parchear debilita la postura de seguridad general. Actualizar a 2026.3.13 aborda los cinco problemas simultáneamente y es el enfoque recomendado.

¿Afectan estas vulnerabilidades a despliegues de OpenClaw que no usan Feishu o Zalo?

CVE-2026-32924 y CVE-2026-32975 son específicas de las integraciones con Feishu y Zalo respectivamente. Sin embargo, CVE-2026-32922, CVE-2026-32973 y CVE-2026-32987 afectan la funcionalidad central de emparejamiento de dispositivos y ejecución de comandos que está presente en todos los despliegues de OpenClaw. Toda instalación debe actualizarse independientemente de qué integraciones de mensajería estén habilitadas.

¿Qué debo monitorear después de aplicar los parches?

Hay que centrarse en tres áreas: logs de emisión de tokens para concesiones anómalas de alcance, intentos de verificación bootstrap que muestren patrones de reproducción, y fallos de coincidencia de lista de ejecución permitida que podrían indicar rutas de bypass previamente explotadas. El aumento de fallos de coincidencia después del parcheo podría revelar intentos de explotación pasados que anteriormente tenían éxito de forma silenciosa.

Conclusiones clave para equipos de seguridad

Estas cinco vulnerabilidades en OpenClaw refuerzan varios principios fundamentales de seguridad que los equipos de desarrollo y operaciones deben integrar en sus flujos de trabajo. Las restricciones de alcance deben validarse en cada punto de emisión de tokens, no solo en la autenticación inicial. Los campos ausentes en payloads de eventos externos deben interpretarse por defecto con la clasificación más restrictiva. La coincidencia de patrones usada para decisiones de seguridad debe considerar el comportamiento específico del sistema de archivos de la plataforma. Las comprobaciones de autorización deben basarse en identificadores inmutables, nunca en atributos de visualización editables por el usuario. Y los tokens de verificación de uso único deben consumirse atómicamente para prevenir condiciones de carrera.

Si tu organización ejecuta OpenClaw en cualquier capacidad, el camino a seguir es claro: actualizar a la versión 2026.3.13 de inmediato, auditar el despliegue en busca de signos de explotación previa, y usar este incidente como catalizador para revisar la arquitectura más amplia de gestión de tokens y autorización. Los parches están disponibles ahora — la ventana entre la divulgación y la explotación se reduce con cada hora que pasa.

Referencias

• CVE-2026-32922 — Base de Datos Nacional de Vulnerabilidades (NVD): nvd.nist.gov/vuln/detail/CVE-2026-32922
• CVE-2026-32924 — Base de Datos Nacional de Vulnerabilidades (NVD): nvd.nist.gov/vuln/detail/CVE-2026-32924
• CVE-2026-32973 — Base de Datos Nacional de Vulnerabilidades (NVD): nvd.nist.gov/vuln/detail/CVE-2026-32973
• CVE-2026-32975 — Base de Datos Nacional de Vulnerabilidades (NVD): nvd.nist.gov/vuln/detail/CVE-2026-32975
• CVE-2026-32987 — Base de Datos Nacional de Vulnerabilidades (NVD): nvd.nist.gov/vuln/detail/CVE-2026-32987
• Registro CVE — Programa CVE de MITRE: cve.org