Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.14
La vulnérabilité CVE-2026-28453 est une faille de traversal de chemin (Path Traversal) affectant OpenClaw. Cette faille permet à un attaquant d'écrire des fichiers en dehors du répertoire d'extraction prévu en exploitant une validation insuffisante des chemins d'accès dans les archives TAR. Les versions concernées sont celles antérieures à 2026.2.14. Une correction a été déployée dans la version 2026.2.14.
Un attaquant exploitant cette vulnérabilité peut créer des archives TAR spécialement conçues contenant des séquences de traversal de chemin, telles que ../../. Ces séquences permettent de contourner les contrôles de sécurité et d'écrire des fichiers dans des emplacements arbitraires du système de fichiers. Cela peut conduire à la modification de fichiers de configuration critiques, à l'injection de code malveillant, voire à la prise de contrôle du système. L'impact potentiel est élevé, car un accès non autorisé au système de fichiers peut compromettre la confidentialité, l'intégrité et la disponibilité des données et des services hébergés par OpenClaw.
La vulnérabilité a été rendue publique le 2026-03-05. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature relativement simple de la vulnérabilité et de la disponibilité potentielle de preuves de concept. Cette vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Systems running OpenClaw versions 0 through 2026.2.14 are at risk, particularly those that process untrusted TAR archives. Environments where OpenClaw is used to process user-uploaded files or data from external sources are especially vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 24%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.2.14 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès aux archives TAR téléchargées ou fournies par des sources non fiables. Implémentez des contrôles d'intégrité des fichiers pour détecter les modifications non autorisées. Surveillez les journaux système pour détecter des tentatives d'écriture de fichiers dans des emplacements inattendus. Après la mise à jour, vérifiez l'intégrité des fichiers de configuration et assurez-vous qu'aucun fichier malveillant n'a été créé.
Actualice la biblioteca OpenClaw a la versión 2026.2.14 o posterior. Esto corrige la vulnerabilidad de path traversal al validar correctamente las rutas de entrada de los archivos TAR durante la extracción.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28453 is a Path Traversal vulnerability in OpenClaw versions 0–2026.2.14 that allows attackers to write files outside the intended directory via malicious TAR archives, potentially leading to code execution.
You are affected if you are running OpenClaw versions 0 through 2026.2.14 and process TAR archives, especially those from untrusted sources.
Upgrade OpenClaw to version 2026.2.14 or later. If immediate upgrade is not possible, implement strict input validation on TAR archives.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the official OpenClaw security advisories on their website or GitHub repository for the most up-to-date information and guidance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.