प्लेटफ़ॉर्म
nodejs
घटक
openclaw
में ठीक किया गया
2026.2.13
OpenClaw में एक पथ पारगमन भेद्यता (Path Traversal vulnerability) पाई गई है, जो संस्करण 0 से 2026.2.13 तक के संस्करणों को प्रभावित करती है। यह भेद्यता ब्राउज़र नियंत्रण API में मौजूद है, जहाँ यह ट्रेस और डाउनलोड फ़ाइलों के लिए उपयोगकर्ता-प्रदत्त आउटपुट पथ को स्वीकार करती है, बिना अस्थायी निर्देशिकाओं में लिखने को लगातार सीमित किए। इसका प्रभाव संवेदनशील डेटा तक अनधिकृत पहुंच है। 2026.2.13 में एक पैच जारी किया गया है।
यह भेद्यता हमलावरों को API एक्सेस प्राप्त करने पर, POST /trace/stop, POST /wait/download, और POST /download एंडपॉइंट में पथ पारगमन का शोषण करने की अनुमति देती है। हमलावर अस्थायी रूट के बाहर फ़ाइलें लिख सकते हैं, जिससे वे सिस्टम फ़ाइलों को संशोधित कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं, या दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। संभावित प्रभाव में डेटा का समझौता, सिस्टम का नियंत्रण खोना और सेवा से इनकार (Denial of Service) शामिल हैं। यह भेद्यता अन्य पथ पारगमन भेद्यताओं के समान है, जहाँ हमलावर फ़ाइल सिस्टम संरचना का लाभ उठाकर अनधिकृत स्थानों पर फ़ाइलें लिख सकते हैं।
CVE-2026-28462 को 2026-03-05 को सार्वजनिक रूप से प्रकट किया गया था। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) नहीं है, लेकिन इसकी उच्च CVSS स्कोर (7.5) इंगित करती है कि इसका शोषण किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। इस भेद्यता का शोषण मध्यम संभावना वाला माना जाता है।
Systems running OpenClaw versions 0 through 2026.2.13 are at risk, particularly those where the browser control API is exposed to untrusted users or applications. Shared hosting environments where multiple users share the same OpenClaw instance are also at elevated risk.
• other / general: Monitor file system activity for unexpected file creations or modifications in sensitive directories. Review access logs for suspicious requests targeting /trace/stop, /wait/download, and /download endpoints with unusual file paths.
• generic web: Use curl or wget to test endpoint exposure and attempt to write files to arbitrary locations. Example:
curl -X POST -d "output=/etc/passwd" http://<openclaw_server>/trace/stopdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, OpenClaw को तुरंत संस्करण 2026.2.13 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें जो पथ पारगमन हमलों को ब्लॉक कर सके। सुनिश्चित करें कि सभी इनपुट को ठीक से मान्य किया गया है और आउटपुट पथ को अस्थायी निर्देशिकाओं तक सीमित किया गया है। नियमित रूप से सिस्टम लॉग की निगरानी करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि कोई भी अनधिकृत फ़ाइलें अस्थायी रूट के बाहर नहीं लिखी जा रही हैं।
Actualice OpenClaw a la versión 2026.2.13 o posterior. Esta versión corrige la vulnerabilidad de path traversal al restringir correctamente las escrituras a directorios temporales. La actualización mitiga el riesgo de que atacantes con acceso a la API escriban archivos fuera de las rutas temporales previstas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-28462 OpenClaw के संस्करणों में एक पथ पारगमन भेद्यता है जो हमलावरों को अस्थायी रूट के बाहर फ़ाइलें लिखने की अनुमति देती है।
यदि आप OpenClaw के संस्करण 0 से 2026.2.13 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
OpenClaw को संस्करण 2026.2.13 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF का उपयोग करें और इनपुट को मान्य करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा नहीं है, लेकिन इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए OpenClaw की वेबसाइट या सुरक्षा नोटिस पृष्ठ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।