Plataforma
nodejs
Componente
openclaw
Corregido en
2026.2.13
La vulnerabilidad CVE-2026-28462 es un fallo de Path Traversal descubierto en OpenClaw. Esta falla permite a atacantes con acceso a la API escribir archivos arbitrariamente fuera de los directorios temporales previstos. Afecta a versiones de OpenClaw anteriores a 2026.2.13. Se ha publicado una actualización a la versión 2026.2.13 para solucionar este problema.
Un atacante que explote esta vulnerabilidad podría comprometer la confidencialidad e integridad del sistema. Al aprovechar el Path Traversal en los endpoints POST /trace/stop, POST /wait/download y POST /download, un atacante podría escribir archivos en ubicaciones arbitrarias en el sistema de archivos, potencialmente sobrescribiendo archivos críticos o ejecutando código malicioso. El impacto potencial incluye la pérdida de datos, la ejecución remota de código y la toma de control del sistema. La falta de validación adecuada de las rutas de salida proporcionadas por el usuario permite esta manipulación.
La vulnerabilidad fue publicada el 2026-03-05. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneo automatizado. La falta de restricciones en las rutas de salida facilita la explotación. No se ha añadido a KEV al momento de la redacción.
Systems running OpenClaw versions 0 through 2026.2.13 are at risk, particularly those where the browser control API is exposed to untrusted users or applications. Shared hosting environments where multiple users share the same OpenClaw instance are also at elevated risk.
• other / general: Monitor file system activity for unexpected file creations or modifications in sensitive directories. Review access logs for suspicious requests targeting /trace/stop, /wait/download, and /download endpoints with unusual file paths.
• generic web: Use curl or wget to test endpoint exposure and attempt to write files to arbitrary locations. Example:
curl -X POST -d "output=/etc/passwd" http://<openclaw_server>/trace/stopdisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28462 es actualizar OpenClaw a la versión 2026.2.13 o posterior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la API solo a usuarios confiables y monitorear los logs del sistema en busca de actividades sospechosas. Implementar reglas de firewall para limitar el acceso a los endpoints vulnerables también puede ayudar a reducir el riesgo. Verifique después de la actualización que la ruta de salida para los archivos de traza y descarga se limita a directorios temporales seguros.
Actualice OpenClaw a la versión 2026.2.13 o posterior. Esta versión corrige la vulnerabilidad de path traversal al restringir correctamente las escrituras a directorios temporales. La actualización mitiga el riesgo de que atacantes con acceso a la API escriban archivos fuera de las rutas temporales previstas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28462 is a Path Traversal vulnerability affecting OpenClaw versions 0–2026.2.13, allowing attackers to write files outside intended directories via API access.
If you are running OpenClaw versions 0 through 2026.2.13 and expose the browser control API, you are potentially affected by this vulnerability.
Upgrade OpenClaw to version 2026.2.13 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting API access and input validation.
As of the current assessment, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official OpenClaw security advisory for detailed information and updates regarding CVE-2026-28462.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.