Plataforma
nodejs
Componente
openclaw
Corregido en
2026.2.14
CVE-2026-28453 es una vulnerabilidad de Path Traversal descubierta en OpenClaw, que afecta a versiones anteriores a 2026.2.14. Esta falla permite a atacantes escribir archivos fuera del directorio de extracción previsto, comprometiendo la integridad de la configuración del sistema. La vulnerabilidad fue publicada el 5 de marzo de 2026 y se ha solucionado en la versión 2026.2.14.
La vulnerabilidad de Path Traversal en OpenClaw permite a un atacante crear archivos maliciosos dentro de un archivo TAR que contengan secuencias de recorrido, como ../../. Al extraer este archivo, el atacante puede escribir archivos en ubicaciones arbitrarias fuera del directorio de extracción previsto. Esto podría resultar en la modificación de archivos de configuración críticos, la inyección de código malicioso o incluso la ejecución remota de código, dependiendo de los permisos del usuario que ejecuta el proceso de extracción. La severidad de esta vulnerabilidad radica en su potencial para comprometer la seguridad del sistema OpenClaw y los datos que procesa.
Actualmente no se dispone de información pública sobre la explotación activa de CVE-2026-28453. La vulnerabilidad fue publicada el 5 de marzo de 2026. La probabilidad de explotación se considera moderada, dado que la vulnerabilidad requiere la creación de un archivo TAR malicioso y la capacidad de ejecutar el proceso de extracción con los permisos adecuados. No se ha añadido a KEV ni se ha reportado un EPSS score.
Systems running OpenClaw versions 0 through 2026.2.14 are at risk, particularly those that process untrusted TAR archives. Environments where OpenClaw is used to process user-uploaded files or data from external sources are especially vulnerable.
disclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28453 es actualizar OpenClaw a la versión 2026.2.14 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restrinja los permisos del usuario que ejecuta el proceso de extracción de archivos TAR para limitar el daño potencial. Implemente una validación estricta de las rutas de los archivos TAR antes de la extracción, rechazando cualquier archivo que contenga secuencias de recorrido sospechosas. Considere el uso de un sistema de archivos de solo lectura para los archivos de configuración críticos.
Actualice la biblioteca OpenClaw a la versión 2026.2.14 o posterior. Esto corrige la vulnerabilidad de path traversal al validar correctamente las rutas de entrada de los archivos TAR durante la extracción.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28453 is a Path Traversal vulnerability in OpenClaw versions 0–2026.2.14 that allows attackers to write files outside the intended directory via malicious TAR archives, potentially leading to code execution.
You are affected if you are running OpenClaw versions 0 through 2026.2.14 and process TAR archives, especially those from untrusted sources.
Upgrade OpenClaw to version 2026.2.14 or later. If immediate upgrade is not possible, implement strict input validation on TAR archives.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the official OpenClaw security advisories on their website or GitHub repository for the most up-to-date information and guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.