Plataforma
javascript
Componente
openclaw
Corregido en
2026.2.14
Se ha identificado una vulnerabilidad de Path Traversal en OpenClaw, afectando versiones desde 2.0.0-beta3 hasta la 2026.2.14. Esta falla permite la ejecución arbitraria de JavaScript, comprometiendo la seguridad del sistema. La vulnerabilidad reside en la forma en que se cargan los módulos de transformación de hooks, permitiendo a atacantes con permisos de escritura en la configuración cargar y ejecutar código malicioso. La versión 2026.2.14 corrige esta vulnerabilidad.
La vulnerabilidad de Path Traversal en OpenClaw permite a un atacante con acceso de escritura a la configuración del sistema, cargar y ejecutar módulos JavaScript maliciosos. Esto puede resultar en la toma de control completa del sistema, ya que los módulos se ejecutan con los privilegios del proceso de gateway. Un atacante podría, por ejemplo, robar información confidencial, modificar datos críticos o incluso utilizar el sistema como punto de partida para ataques a otros sistemas en la red. La ejecución de JavaScript arbitraria representa un riesgo significativo para la integridad y confidencialidad de los datos.
Esta vulnerabilidad fue publicada el 5 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Organizations and individuals using OpenClaw, particularly those with publicly accessible instances or those who allow external users to modify configuration files, are at risk. Environments where OpenClaw is integrated with other systems or services are also at increased risk due to the potential for lateral movement.
• javascript: Examine OpenClaw configuration files for suspicious entries in the hooks.mappings[].transform.module parameter, particularly those containing absolute paths or traversal sequences (e.g., ../).
• javascript: Monitor OpenClaw logs for errors or warnings related to module loading failures, which could indicate an attempted exploitation.
• javascript: Use a debugger to step through the hook transform module loading process and identify any unexpected file access patterns.
disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28393 es actualizar OpenClaw a la versión 2026.2.14 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso de escritura a la configuración del sistema, limitando quién puede modificar los archivos de configuración. Además, se debe revisar cuidadosamente cualquier módulo de transformación de hooks que se esté utilizando para identificar posibles puntos de entrada para ataques. Implementar un sistema de validación de entradas para el parámetro hooks.mappings[].transform.module podría ayudar a prevenir la inyección de rutas maliciosas.
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la carga de módulos JavaScript. La actualización evitará la ejecución de código JavaScript arbitrario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28393 is a Path Traversal vulnerability in OpenClaw versions 2.0.0-beta3–2026.2.14, allowing attackers to execute arbitrary JavaScript code with gateway process privileges.
You are affected if you are using OpenClaw versions 2.0.0-beta3 through 2026.2.14 and have not yet upgraded to version 2026.2.14 or later.
Upgrade OpenClaw to version 2026.2.14 or later. Back up your configuration files before upgrading and restrict write access to configuration files as a temporary workaround.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the OpenClaw project's official website and security advisories for the latest information and updates regarding CVE-2026-28393.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.