Plateforme
javascript
Composant
openclaw
Corrigé dans
2026.2.14
Une vulnérabilité de type Path Traversal a été découverte dans OpenClaw, affectant les versions antérieures à 2026.2.14, notamment 2.0.0-beta3. Cette faille, présente dans le module de chargement des transformations de hooks, permet à un attaquant disposant d'un accès en écriture à la configuration d'exécuter du code JavaScript arbitraire. La mise à jour vers la version 2026.2.14 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter et d'exécuter du code JavaScript malveillant au sein de l'environnement OpenClaw. Le paramètre hooks.mappings[].transform.module accepte des chemins absolus et des séquences de traversal, ce qui permet de contourner les contrôles de sécurité. L'attaquant, ayant un accès en écriture à la configuration, peut ainsi charger et exécuter des modules malveillants avec les privilèges du processus gateway. Cela peut conduire à la compromission complète du système, incluant le vol de données sensibles, la modification de configurations et l'exécution de commandes arbitraires sur le serveur. Bien que l'exploitation nécessite un accès en écriture à la configuration, la gravité élevée de la vulnérabilité souligne le risque potentiel de compromission.
Cette vulnérabilité a été publiée le 2026-03-05. Il n'y a pas d'indication d'une exploitation active ou d'une présence dans le KEV à ce jour. Aucun Proof of Concept (PoC) public n'est connu à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des acteurs malveillants disposant des compétences nécessaires. La description de la vulnérabilité suggère une similarité avec des attaques de type Path Traversal courantes, où la manipulation des chemins d'accès permet de contourner les contrôles de sécurité.
Organizations and individuals using OpenClaw, particularly those with publicly accessible instances or those who allow external users to modify configuration files, are at risk. Environments where OpenClaw is integrated with other systems or services are also at increased risk due to the potential for lateral movement.
• javascript: Examine OpenClaw configuration files for suspicious entries in the hooks.mappings[].transform.module parameter, particularly those containing absolute paths or traversal sequences (e.g., ../).
• javascript: Monitor OpenClaw logs for errors or warnings related to module loading failures, which could indicate an attempted exploitation.
• javascript: Use a debugger to step through the hook transform module loading process and identify any unexpected file access patterns.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 27%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.2.14 ou ultérieure, qui corrige la vulnérabilité. En attendant la mise à jour, il est fortement recommandé de restreindre l'accès en écriture à la configuration d'OpenClaw. Si une mise à jour immédiate n'est pas possible, examinez attentivement les permissions des utilisateurs ayant accès à la configuration et limitez-les au strict minimum nécessaire. Il n'existe pas de règles WAF ou de configurations spécifiques pour atténuer cette vulnérabilité sans mise à jour, mais une surveillance accrue des accès à la configuration est conseillée. Après la mise à jour, vérifiez que les modules de hooks sont chargés à partir de sources fiables et que les chemins d'accès sont correctement validés.
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la carga de módulos JavaScript. La actualización evitará la ejecución de código JavaScript arbitrario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28393 is a Path Traversal vulnerability in OpenClaw versions 2.0.0-beta3–2026.2.14, allowing attackers to execute arbitrary JavaScript code with gateway process privileges.
You are affected if you are using OpenClaw versions 2.0.0-beta3 through 2026.2.14 and have not yet upgraded to version 2026.2.14 or later.
Upgrade OpenClaw to version 2026.2.14 or later. Back up your configuration files before upgrading and restrict write access to configuration files as a temporary workaround.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the OpenClaw project's official website and security advisories for the latest information and updates regarding CVE-2026-28393.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.