CVE-2026-53859

OpenClaw < 2026.5.26 - Hostname Validation Bypass via Trailing-Dot Inconsistency

CVSS 6 MEDIUMEPSS 0.2%CWE-1023 CWE-918

En resumen

OpenClaw anterior a la versión 2026.5.26 tiene un defecto en la validación de nombres de host, permitiendo que atacantes eludan listas de bloqueo añadiendo un punto al final de las URLs. Esto significa que los usuarios podrían ser dirigidos a sitios bloqueados que los administradores creían haber protegido.

Detalle técnico

La vulnerabilidad existe en la lógica de validación de hostname que no normaliza consistentemente la notación de punto final al comparar contra políticas de blocklist. Los atacantes pueden crear URLs derivadas de modelos o espacios de trabajo con puntos finales para eludir las verificaciones de blocklist de hostname (CWE-918, CWE-1023), accediendo a destinos que pretendían ser restringidos por las políticas del operador.

Resumen generado y traducido por IA a partir de la descripción oficial.

OpenClaw before 2026.5.26 contains a hostname validation vulnerability allowing attackers to bypass blocklist comparisons using trailing-dot notation in model or workspace-derived URLs. Attackers can exploit inconsistent hostname checks to reach destinations that operators intended to block through hostname policies.

CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Productos afectados

OpenClaw · OpenClaw

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/openclaw/openclaw/security/advisories/GHSA-gxg4-2rrr-jhc7 https://www.vulncheck.com/advisories/openclaw-hostname-validation-bypass-via-trailing-dot-inconsistency