प्लेटफ़ॉर्म
javascript
घटक
openclaw
में ठीक किया गया
2026.2.14
OpenClaw के संस्करण 2.0.0-beta3 से पहले 2026.2.14 में एक पथ पारगमन भेद्यता मौजूद है। यह भेद्यता हुक ट्रांसफॉर्म मॉड्यूल लोडिंग में पाई गई है, जिससे हमलावरों को मनमाने जावास्क्रिप्ट कोड निष्पादित करने की अनुमति मिलती है। प्रभावित संस्करणों में 2.0.0-beta3 से लेकर 2026.2.14 तक शामिल हैं। इस समस्या का समाधान 2026.2.14 में जारी किया गया है।
यह भेद्यता हमलावरों को OpenClaw के हुक ट्रांसफॉर्म मॉड्यूल लोडिंग प्रक्रिया का फायदा उठाने की अनुमति देती है। hooks.mappings[].transform.module पैरामीटर पूर्ण पथ और पारगमन अनुक्रमों को स्वीकार करता है। यदि हमलावर के पास कॉन्फ़िगरेशन लिखने की पहुंच है, तो वे गेटवे प्रक्रिया विशेषाधिकारों के साथ दुर्भावनापूर्ण मॉड्यूल लोड और निष्पादित कर सकते हैं। इसका परिणाम मनमाना कोड निष्पादन, डेटा चोरी और सिस्टम नियंत्रण के संभावित नुकसान में हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह हमलावरों को उच्च विशेषाधिकार प्राप्त प्रक्रियाओं के संदर्भ में कोड चलाने की अनुमति देती है, जिससे सिस्टम पर व्यापक प्रभाव पड़ सकता है।
CVE-2026-28393 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-05 को प्रकाशित की गई थी। सक्रिय अभियान की कोई जानकारी नहीं है।
Organizations and individuals using OpenClaw, particularly those with publicly accessible instances or those who allow external users to modify configuration files, are at risk. Environments where OpenClaw is integrated with other systems or services are also at increased risk due to the potential for lateral movement.
• javascript: Examine OpenClaw configuration files for suspicious entries in the hooks.mappings[].transform.module parameter, particularly those containing absolute paths or traversal sequences (e.g., ../).
• javascript: Monitor OpenClaw logs for errors or warnings related to module loading failures, which could indicate an attempted exploitation.
• javascript: Use a debugger to step through the hook transform module loading process and identify any unexpected file access patterns.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (27% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-28393 के लिए प्राथमिक शमन उपाय OpenClaw को संस्करण 2026.2.14 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो कॉन्फ़िगरेशन फ़ाइलों में पथों को सख्त रूप से नियंत्रित करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। यह सुनिश्चित करें कि hooks.mappings[].transform.module पैरामीटर केवल विश्वसनीय स्रोतों से मॉड्यूल लोड करता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करने पर विचार करें जो पथ पारगमन प्रयासों का पता लगाते हैं और उन्हें अवरुद्ध करते हैं। हुक ट्रांसफॉर्म मॉड्यूल के लिए इनपुट सत्यापन को मजबूत करना भी एक प्रभावी शमन रणनीति हो सकती है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, हुक ट्रांसफॉर्म मॉड्यूल को लोड करने का प्रयास करके और यह सुनिश्चित करके कि केवल अपेक्षित मॉड्यूल ही लोड किए गए हैं।
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la carga de módulos JavaScript. La actualización evitará la ejecución de código JavaScript arbitrario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-28393 OpenClaw के संस्करण 2.0.0-beta3 से पहले 2026.2.14 में एक पथ पारगमन भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण मॉड्यूल निष्पादित करने की अनुमति देती है।
यदि आप OpenClaw के संस्करण 2.0.0-beta3 और 2026.2.14 के बीच संस्करण चला रहे हैं, तो आप प्रभावित हैं।
OpenClaw को संस्करण 2026.2.14 या बाद के संस्करण में अपडेट करें।
सक्रिय शोषण की कोई जानकारी नहीं है, लेकिन भेद्यता का शोषण किया जा सकता है।
आधिकारिक सलाहकार OpenClaw वेबसाइट पर उपलब्ध होना चाहिए।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।