Plataforma
nodejs
Componente
openclaw
Corregido en
2026.2.1
2026.2.1
La vulnerabilidad CVE-2026-28447 es un fallo de Path Traversal descubierto en openclaw, un paquete npm. Este fallo permite a un atacante, mediante la manipulación del nombre del paquete en el archivo package.json, escribir archivos fuera del directorio de extensiones previsto. Afecta a las versiones de openclaw mayores o iguales a 2026.1.20 y menores a 2026.2.1. La vulnerabilidad ha sido corregida en la versión 2026.2.1.
Un atacante puede explotar esta vulnerabilidad para escribir archivos arbitrarios en el sistema de archivos, potencialmente comprometiendo la integridad y confidencialidad de los datos. La capacidad de escribir archivos fuera del directorio de extensiones permite la ejecución de código malicioso o la modificación de archivos de configuración críticos. Esto podría resultar en la toma de control del sistema o la ejecución remota de código. La severidad del impacto depende del contexto de despliegue y los permisos del usuario que ejecuta el paquete openclaw.
La vulnerabilidad ha sido publicada el 2026-02-17. No se han reportado campañas de explotación activas conocidas al momento de la publicación. No se ha añadido a KEV. La probabilidad de explotación se considera baja debido a la necesidad de manipular el archivo package.json del plugin, lo que requiere un cierto nivel de conocimiento técnico.
Developers and organizations using OpenClaw for plugin-based extensions are at risk. This includes those who automatically install plugins from untrusted sources or lack robust input validation on plugin names. Shared hosting environments where multiple users can install plugins are particularly vulnerable, as a malicious plugin installed by one user could potentially impact other users on the same server.
• nodejs / supply-chain:
npm list openclawCheck the installed version against the affected range (>= 2026.1.20, < 2026.2.1). • nodejs / supply-chain:
find node_modules -name 'package.json' -print0 | xargs -0 grep -i 'name: @ma' Search for plugins with suspicious names containing '@ma' or similar patterns. • generic web: Inspect plugin installation directories for unexpected files or modifications.
disclosure
patch
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 2026.2.1 o superior de openclaw. Si la actualización no es inmediatamente posible, se recomienda revisar los permisos del directorio de instalación de plugins para limitar el acceso de escritura. Además, se pueden implementar reglas en un proxy o WAF para bloquear solicitudes que contengan caracteres sospechosos en el nombre del paquete. Monitorear los logs del sistema en busca de intentos de escritura de archivos fuera del directorio esperado también puede ayudar a detectar la explotación de esta vulnerabilidad.
Actualice OpenClaw a la versión 2026.2.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la instalación de plugins. La actualización evitará que atacantes escriban archivos fuera del directorio de extensiones previsto.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28447 is a Path Traversal vulnerability in the OpenClaw npm package, allowing malicious plugin names to write files outside the intended installation directory.
You are affected if you are using OpenClaw versions 2026.1.20 and higher, but before 2026.2.1.
Upgrade the OpenClaw npm package to version 2026.2.1 or later. Consider input validation on plugin names as an interim measure.
As of the public disclosure date, there is no evidence of active exploitation or publicly available proof-of-concept code.
Refer to the npm advisory and OpenClaw's project repository for the latest information and updates regarding CVE-2026-28447.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.