OpenYak
v1.0.8arranca un servidor local en127.0.0.1:19141sin autenticación, sin validación deOriginy sin protección CSRF. Una sola visita a una web maliciosa basta para que un atacante remoto ejecute comandos arbitrarios en la máquina de la víctima a través del agente bash de la propia aplicación. Reportado al mantenedor, parcheado env1.1.3.
0x01 — Por qué OpenYak
Llevaba tiempo dándole vueltas a sentarme un fin de semana con un objetivo claro: encontrar una vulnerabilidad real en una aplicación real. Nada de CTF, nada de laboratorios. Algo que la gente instala, ejecuta y deja corriendo en su máquina mientras navega.
El criterio de selección fue corto:
- Aplicación de escritorio que exponga una API local. Esa superficie está históricamente mal cuidada.
- Manejo de LLMs — un dominio que conozco bien, donde sé qué buscar.
- Base de usuarios suficiente para que la investigación tenga impacto real.
OpenYak cumplía las tres. Aplicación open-source, expone una API REST en 127.0.0.1:19141, gestiona chats con modelos de varios proveedores, y — la cereza del pastel — incluye un agente capaz de ejecutar comandos bash. El tipo de aplicación donde, si las cosas no están bien atadas, el premio es gordo.
0x02 — Reconocimiento
Lo primero, lo de siempre: instalar, levantar Burp y mapear endpoints. Cuando una app local expone HTTP, el reconocimiento se vuelve trivial — todo el tráfico pasa por tu proxy.
Lo que llamó mi atención casi de inmediato fue la ausencia total de cualquier mecanismo de autenticación: nada de Authorization, nada de cookies, nada de API keys, nada de tokens en headers. Cada request era un POST o GET limpio contra localhost.
Bonus: el servidor exponía Swagger en producción.
| Método | Endpoint | Descripción | Impacto inmediato |
|---|---|---|---|
POST |
/shutdown |
Apaga el servidor | 🔴 DoS |
POST |
/api/chat/prompt |
Envía prompt al agente con permisos configurables | 🔴 RCE |
GET |
/api/sessions |
Lista sesiones activas | 🟠 Info disclosure |
GET |
/api/stream/{id} |
Recupera el output del stream de respuesta | 🟠 Exfiltración |
* |
/api/files/* |
CRUD completo sobre el filesystem | 🔴 Lectura/escritura arbitraria |
El que más me interesó fue /api/chat/prompt. El payload aceptaba un campo permission_presets donde el cliente — no el servidor — declaraba qué permisos tenía esa interacción. Entre ellos, bash: true. Es decir: el cliente le dice al servidor qué puede hacer. Esto, combinado con la ausencia de autenticación, ya no es un bug puntual: es un agujero de diseño.
A primera vista, el problema parecía contenido. La API bindea a 127.0.0.1, así que un atacante remoto no puede llegar a ella directamente. Pero esa frase contiene la trampa de siempre:
"No puedo llegar desde fuera, ¿pero qué pasa si consigo que el navegador del usuario llegue por mí?"
0x03 — Cuatro grietas que se convierten en una
Esto no es un bug aislado. Es una cadena de decisiones de diseño que individualmente serían malas prácticas pero que, juntas, forman una superficie de ataque crítica.
Grieta #1 — Sin autenticación (CWE-306)
El servidor no implementa ningún tipo de autenticación. Cualquier proceso o página web que pueda alcanzar 127.0.0.1:19141 tiene acceso completo a todos los endpoints, con los privilegios del usuario que ejecuta la aplicación.
Si existiera cualquier token de sesión, aunque fuera el más simple, los siguientes tres flaws serían inocuos. Esta es la raíz.
Grieta #2 — Origin no se valida (CWE-346)
El servidor no inspecciona el header Origin de las requests entrantes. Una request originada desde https://evil.attacker.com se procesa de forma idéntica a una originada desde la propia UI de OpenYak.
Grieta #3 — CORS ausente (CWE-942)
No hay headers CORS configurados. El detalle clave que mucha gente pasa por alto: que el navegador bloquee la lectura de la respuesta no implica que la request no se procese. Para vectores como POST /shutdown no necesito leer la respuesta — el daño está hecho en el momento en que el servidor recibe y atiende la petición. Y, como veremos en breve, lo mismo aplica al RCE.
Grieta #4 — Content-Type permisivo (CWE-352)
El servidor acepta cualquier Content-Type: application/json, text/plain, valores absurdos. Y aquí es donde la cadena se cierra: con text/plain permitido, el camino al CSRF "clásico" via <form> HTML sin preflight CORS queda abierto. (Spoiler: en este caso concreto este punto no terminó siendo el vector definitivo, pero ya volveremos a esto.)
El cuadro completo
Víctima abre evil.attacker.com en el navegador
│
▼
JS / form hace request a 127.0.0.1:19141
│
▼
API la procesa — no auth, no Origin check
│
▼
Agente AI ejecuta bash → RCE
0x04 — El obstáculo: Private Network Access
Aquí es donde la cosa se pone interesante.
Chrome introdujo en 2021–2022 una mitigación llamada Private Network Access (PNA) pensada precisamente para escenarios como este. La idea es simple: una página pública no debería poder hacer requests directas a 127.0.0.1 o rangos privados sin autorización explícita del servidor de destino.
PNA funciona con un preflight OPTIONS:
OPTIONS / HTTP/1.1
Host: 127.0.0.1:19141
Origin: https://evil.attacker.com
Access-Control-Request-Private-Network: true
Si el servidor local no responde con:
Access-Control-Allow-Private-Network: true
Access-Control-Allow-Origin: https://evil.attacker.com
…el navegador bloquea la request real antes incluso de enviarla.
OpenYak, evidentemente, no envía ese header. Lo cual, en teoría, debería protegerlo del ataque desde Chrome.
En teoría.
0x05 — El camino al exploit (incluyendo lo que no funcionó)
Intento 1 — <form> con enctype="text/plain"
El primer intento fue el truco clásico: un formulario HTML con enctype="text/plain", partiendo el JSON entre el atributo name y value del input para construir el body válido sin que el navegador lance preflight CORS.
<form action="http://127.0.0.1:19141/api/chat/prompt"
method="POST"
enctype="text/plain">
<input type="hidden"
name='{"session_id":"pwn","text":"whoami","agent":"build","permission_presets":{"bash":true},"x":'
value='1}'>
</form>
<script>document.forms[0].submit();</script>
Resultado: falla. Aunque el Content-Type no estaba validado, el parser del lado servidor terminaba fallando, y la concatenación name=value introducía caracteres extra creo que rompían el parseo de JSON.
Probablemente exista un bypass para este vector concreto (la combinatoria de cómo se interpretan name/value en text/plain da bastante margen), pero a estas alturas ya tenía un camino más limpio en mente.
Intento 2 — DNS rebinding
El siguiente movimiento natural fue probar DNS rebinding. Configuré un dominio (loopback.creathem.one) que resuelve alternativamente a una IP pública y a 127.0.0.1. Este tipo de truco históricamente ha funcionado para evadir restricciones basadas en origin y host.
Resultado: falla de nuevo, esta vez por una razón distinta. PNA no decide en función del nombre del host, sino del target IP space tras la resolución DNS. Chrome detecta que la respuesta DNS apunta a un rango privado y dispara el preflight PNA antes de la petición real. El servidor responde sin el header esperado y Chrome corta la conexión.
Gracias a esta investigacion, he abierto otra para encontrar bypasses del PNA.
El movimiento final — Firefox
A esta altura tocaba parar y replantear. ¿Qué supuestos había estado asumiendo?
"El target es Chrome."
Pero Firefox no implementa PNA. Y Firefox no es exactamente un navegador minoritario. Para confirmar la cadena completa con un PoC limpio basta con que la víctima visite la página maliciosa desde Firefox — y a partir de ahí todo el flujo funciona sin obstáculos.
Vale la pena dejar tres puntos claros aquí:
- PNA tiene un historial de bypasses desde su introducción. No es una mitigación que sustituya a las protecciones reales (auth + Origin validation). Es una defensa en profundidad, y como tal, no debería ser el único muro.
-
POST /shutdownse puede disparar desde cualquier navegador, incluido Chrome, simplemente porque no requiere leer la respuesta y se dispara como<form>simple sin preflight especial. El DoS es universal. - Cualquier otra vulnerabilidad SSRF en el sistema (en otra aplicación instalada en la máquina, por ejemplo) que permita disparar peticiones HTTP arbitrarias termina enlazando contra OpenYak sin esfuerzo, saltándose PNA por completo.
0x06 — PoC: visita una web, ejecuta un comando
Con todas las piezas en su sitio, la PoC se reduce a esto:
// CSRF → RCE en OpenYak v1.0.8
// La víctima abre esta página en Firefox y el comando se ejecuta en su máquina.
// Nota: no necesitamos leer la respuesta — el daño está hecho en el momento
// en que el servidor procesa la request. CORS no nos molesta.
fetch("http://127.0.0.1:19141/api/chat/prompt", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({
session_id: "pwned-session",
text: "Ejecuta el siguiente comando: <CUALQUIER COMANDO>",
model: "openai/gpt-4.1-mini",
provider_id: "openrouter",
agent: "build",
attachments: [],
permission_presets: { bash: true } // 🚩 el cliente dicta los permisos
})
});
Tres detalles importantes:
-
No leemos la respuesta. No nos hace falta. En el momento en que el servidor recibe el prompt y el agente decide ejecutarlo, el RCE ya ocurrió. CORS y
mode: "no-cors"son irrelevantes para este vector. - No hay ninguna interacción adicional de la víctima. Basta con que abra la página.
-
El
permission_presetslo dicta el atacante. El servidor honra alegremente lo que le diga el cliente.
¿Y las API keys?
Por fortuna (porque viendo el resto del diseño dudo seriamente que sea por elección consciente), el endpoint que lista los providers devuelve las API keys enmascaradas con asteriscos. Eso cierra una vía de exfiltración directa.
Pero /api/files/* sigue abierto. Listar, leer y escribir ficheros del sistema, todo sin autenticación. En una explotación realista, nada impide leer los ficheros de configuración donde las claves están almacenadas en disco — o, para no complicarse, dropear un binario y persistir.
0x07 — Impacto
Esta vulnerabilidad afecta a cualquier usuario de OpenYak v1.0.8 o anterior que tenga la aplicación corriendo mientras navega.
| Vector | Severidad |
|---|---|
| RCE completo via agente bash | 🔴 Critical |
DoS instantáneo via POST /shutdown
|
🔴 High |
| Lectura/escritura arbitraria de ficheros | 🔴 Critical |
| Exfiltración de historial de chats y sesiones | 🟠 High |
| Escalada a persistencia / movimiento lateral | 🔴 Critical |
En términos de complejidad, esto es nivel easy de HackTheBox. No hay nada exótico — no hay heap, no hay race conditions, no hay primitivos extraños. Lo que lo hace crítico es el impacto, no la dificultad.
0x08 — El fix
Reporté la vulnerabilidad al mantenedor con writeup técnico completo y PoC. La respuesta fue rápida y profesional, y el fix llegó en v1.1.3 (commit 1c54ae3).
La mitigación correcta:
Validar Origin a nivel de middleware ataca la grieta #2, que era la raíz explotable. La autenticación tambien se introdujo según el mantenedor.
0x09 — Timeline de disclosure
El desarrollador lo resolvio casi instantaneamente.
No obstante dejo bastante que desear a la hora de publicarlo y asignar CVE, tardo unas 5 semanas desde la publicación del parche.
0x0A — Reflexión final
Este fue el primer repositorio al que me senté a auditar con esta metodología. Encontrar la vulnerabilidad no me llevó nada — y eso, francamente, me preocupa más que el bug en sí.
La aplicación está cuidada en muchos aspectos: la UI funciona, el código compila, los tests pasan, la integración con providers de LLM está bien resuelta. Pero el modelo de amenaza del servidor local no parece haberse considerado seriamente. Y eso me lleva a la pregunta inevitable:
¿Cuántas aplicaciones modernas, especialmente las que están naciendo al calor de la ola de IA, exponen servidores locales con esta misma combinación exacta de errores?
La respuesta empírica, después de un par de tardes mirando alrededor, es: muchas. La superficie de ataque "servidor en localhost que asume que localhost es seguro" se está multiplicando, y el navegador es cada vez peor compañero de viaje para esa asunción.
Validar Origin es trivial. Implementar un token de sesión que el servidor pasa al frontend al arrancar y exige en cada request es trivial. Y sin embargo seguimos viendo el mismo patrón.
El mantenedor de OpenYak hizo lo correcto: respondió rápido, reconoció el bug, lo arregló bien y abrió el camino al CVE. Ojalá fuera la norma.
Esta investigación se realizó bajo responsible disclosure coordinado con el mantenedor del proyecto. La vulnerabilidad fue reportada antes de cualquier publicación pública y el fix estaba disponible antes de este writeup. No se realizaron pruebas sobre instalaciones de terceros sin consentimiento.
arturo0x90 · Independent Security Researcher · CVEs · Responsible Disclosure