Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.1
2026.2.1
La vulnérabilité CVE-2026-28447 est une faille de Path Traversal découverte dans openclaw, un package npm. Cette vulnérabilité permet à un plugin malveillant d'échapper au répertoire d'extensions prévu et d'écrire des fichiers dans un répertoire parent. Elle affecte les versions de openclaw supérieures ou égales à 2026.1.20 et inférieures à 2026.2.1. La mise à jour vers la version 2026.2.1 ou ultérieure corrige ce problème.
Un attaquant peut exploiter cette vulnérabilité en créant un plugin malveillant avec un nom de manifeste (package.json) spécialement conçu pour contourner les contrôles de chemin d'accès. En manipulant le nom du plugin, l'attaquant peut forcer openclaw à écrire des fichiers dans des emplacements arbitraires sur le système de fichiers. Cela pourrait permettre à l'attaquant d'écrire des fichiers exécutables, de modifier des fichiers de configuration critiques ou de compromettre d'autres parties du système. L'impact potentiel est élevé, car un attaquant pourrait obtenir un contrôle significatif sur l'environnement d'exécution de openclaw.
La vulnérabilité a été publiée le 2026-02-17. Il n'y a pas d'indications d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un plugin malveillant spécifiquement conçu pour exploiter la faille. Il n'est pas encore répertorié sur le KEV de CISA.
Developers and organizations using OpenClaw for plugin-based extensions are at risk. This includes those who automatically install plugins from untrusted sources or lack robust input validation on plugin names. Shared hosting environments where multiple users can install plugins are particularly vulnerable, as a malicious plugin installed by one user could potentially impact other users on the same server.
• nodejs / supply-chain:
npm list openclawCheck the installed version against the affected range (>= 2026.1.20, < 2026.2.1). • nodejs / supply-chain:
find node_modules -name 'package.json' -print0 | xargs -0 grep -i 'name: @ma' Search for plugins with suspicious names containing '@ma' or similar patterns. • generic web: Inspect plugin installation directories for unexpected files or modifications.
disclosure
patch
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour openclaw vers la version 2026.2.1 ou une version ultérieure qui inclut la correction. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les autorisations d'écriture pour le processus openclaw afin de limiter l'impact potentiel d'une exploitation réussie. Il est également recommandé de mettre en œuvre une validation stricte des noms de fichiers et des chemins d'accès lors de l'installation et de l'exécution de plugins. Après la mise à jour, vérifiez que les plugins installés sont légitimes et proviennent de sources fiables.
Actualice OpenClaw a la versión 2026.2.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la instalación de plugins. La actualización evitará que atacantes escriban archivos fuera del directorio de extensiones previsto.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28447 is a Path Traversal vulnerability in the OpenClaw npm package, allowing malicious plugin names to write files outside the intended installation directory.
You are affected if you are using OpenClaw versions 2026.1.20 and higher, but before 2026.2.1.
Upgrade the OpenClaw npm package to version 2026.2.1 or later. Consider input validation on plugin names as an interim measure.
As of the public disclosure date, there is no evidence of active exploitation or publicly available proof-of-concept code.
Refer to the npm advisory and OpenClaw's project repository for the latest information and updates regarding CVE-2026-28447.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.