Plateforme
nodejs
Composant
openclaw
Corrigé dans
2026.2.12
La vulnérabilité CVE-2026-28482 est une faille de traversal de chemin (Path Traversal) affectant OpenClaw. Elle permet à un attaquant authentifié de lire ou d'écrire des fichiers arbitraires en dehors du répertoire des sessions d'agents en manipulant les paramètres sessionId et sessionFile. Cette vulnérabilité touche les versions d'OpenClaw antérieures à 2026.2.12. Une mise à jour vers la version 2026.2.12 corrige ce problème.
Un attaquant authentifié peut exploiter cette faille en injectant des séquences de traversal de chemin, telles que ../../etc/passwd, dans les paramètres sessionId ou sessionFile. Cela lui permet de contourner les contrôles d'accès et d'accéder à des fichiers sensibles situés en dehors du répertoire des sessions d'agents. L'impact potentiel est la divulgation d'informations confidentielles, la modification de fichiers système, voire la prise de contrôle du système. Bien que la vulnérabilité nécessite une authentification préalable, elle représente un risque significatif pour les environnements où l'authentification est compromise ou mal configurée. L'exploitation réussie pourrait permettre à un attaquant de compromettre l'intégrité et la confidentialité des données stockées sur le système.
La vulnérabilité a été rendue publique le 2026-03-05. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification préalable. Aucun Proof of Concept (PoC) public n'est actuellement disponible, mais la nature de la vulnérabilité la rend potentiellement exploitable. Cette vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Organizations utilizing OpenClaw for agent management, particularly those with legacy configurations or shared hosting environments, are at risk. Environments where OpenClaw interacts with sensitive data or critical infrastructure are especially vulnerable and should prioritize patching.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenClaw vers la version 2026.2.12 ou ultérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les droits d'accès des utilisateurs authentifiés aux fichiers et répertoires critiques. Il est également recommandé de mettre en place une surveillance accrue des accès aux fichiers et répertoires sensibles. Si une mise à jour immédiate n'est pas possible, une solution temporaire pourrait consister à configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de traversal de chemin suspectes. Vérifiez après la mise à jour que la version corrigée est bien installée et que les paramètres de configuration sont corrects.
Actualice OpenClaw a la versión 2026.2.12 o posterior. Esta versión corrige las vulnerabilidades de path traversal al sanitizar los parámetros sessionId y sessionFile, previniendo el acceso no autorizado a archivos fuera del directorio de sesiones del agente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28482 is a Path Traversal vulnerability in OpenClaw allowing authenticated attackers to read/write arbitrary files due to unsanitized session parameters. It has a CVSS score of 7.1 (HIGH).
You are affected if you are running OpenClaw versions 0–2026.2.12. Upgrade to 2026.2.12 to mitigate the risk.
Upgrade OpenClaw to version 2026.2.12 or later. As a temporary workaround, restrict directory access controls for the agent sessions directory.
There is currently no indication of active exploitation, but the vulnerability's severity warrants monitoring.
Refer to the OpenClaw security advisories on their official website or GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.