Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.13
Une vulnérabilité de type Path Traversal a été découverte dans OpenClaw, affectant les versions antérieures à 2026.2.13. Cette faille se situe dans l'API de contrôle du navigateur et permet à un attaquant disposant d'un accès API d'écrire des fichiers en dehors des répertoires temporaires prévus. La mise à jour vers la version 2026.2.13 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'écrire des fichiers arbitraires sur le système OpenClaw, potentiellement compromettant l'intégrité des données et la sécurité du serveur. L'attaquant peut exploiter les points d'entrée POST /trace/stop, POST /wait/download et POST /download pour contourner les restrictions d'écriture et placer des fichiers malveillants dans des emplacements critiques. Cela pourrait conduire à l'exécution de code à distance ou à la divulgation d'informations sensibles, en fonction des permissions de l'utilisateur OpenClaw et des fichiers accessibles.
Cette vulnérabilité a été rendue publique le 2026-03-05. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature de la vulnérabilité de Path Traversal la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès API et de la complexité potentielle de l'exploitation. Il n'y a pas d'entrée dans le KEV à ce jour.
Systems running OpenClaw versions 0 through 2026.2.13 are at risk, particularly those where the browser control API is exposed to untrusted users or applications. Shared hosting environments where multiple users share the same OpenClaw instance are also at elevated risk.
• other / general: Monitor file system activity for unexpected file creations or modifications in sensitive directories. Review access logs for suspicious requests targeting /trace/stop, /wait/download, and /download endpoints with unusual file paths.
• generic web: Use curl or wget to test endpoint exposure and attempt to write files to arbitrary locations. Example:
curl -X POST -d "output=/etc/passwd" http://<openclaw_server>/trace/stopdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.2.13 ou ultérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de restreindre l'accès à l'API de contrôle du navigateur aux utilisateurs autorisés uniquement. Si une mise à jour n'est pas immédiatement possible, envisagez de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de path traversal (par exemple, '../'). Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute tentative d'écriture de fichiers en dehors des répertoires temporaires. Après la mise à jour, vérifiez que les fichiers ne peuvent plus être écrits en dehors des répertoires temporaires en effectuant des tests d'injection de chemin.
Actualice OpenClaw a la versión 2026.2.13 o posterior. Esta versión corrige la vulnerabilidad de path traversal al restringir correctamente las escrituras a directorios temporales. La actualización mitiga el riesgo de que atacantes con acceso a la API escriban archivos fuera de las rutas temporales previstas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28462 is a Path Traversal vulnerability affecting OpenClaw versions 0–2026.2.13, allowing attackers to write files outside intended directories via API access.
If you are running OpenClaw versions 0 through 2026.2.13 and expose the browser control API, you are potentially affected by this vulnerability.
Upgrade OpenClaw to version 2026.2.13 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting API access and input validation.
As of the current assessment, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official OpenClaw security advisory for detailed information and updates regarding CVE-2026-28462.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.