Platform
nodejs
Component
openclaw
Opgelost in
2026.2.14
CVE-2026-28453 beschrijft een Path Traversal kwetsbaarheid in OpenClaw. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de bedoelde extractie directory te schrijven door middel van kwaadaardige TAR-archieven. De kwetsbaarheid treft OpenClaw versies van 0 tot en met 2026.2.14. Een update naar versie 2026.2.14 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ernstige gevolgen. Aanvallers kunnen kwaadaardige TAR-archieven maken met pad traversal sequences, zoals '../../', om bestanden buiten de extractie directory te schrijven. Dit kan gebruikt worden om configuratiebestanden te wijzigen, gevoelige informatie te stelen of zelfs code uit te voeren op het systeem. De impact kan variëren afhankelijk van de privileges van de gebruiker die de TAR-archive uitpakt, maar in het ergste geval kan dit leiden tot volledige controle over het systeem. Het is vergelijkbaar met kwetsbaarheden waarbij ongevalideerde gebruikersinvoer direct wordt gebruikt om bestandsnamen te construeren, wat kan leiden tot onbedoelde toegang tot gevoelige bronnen.
Op het moment van publicatie (2026-03-05) is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-28453. Er zijn ook geen publieke proof-of-concept exploits bekend. De KEV-status is momenteel onbekend. De kwetsbaarheid is echter significant vanwege de mogelijkheid van code-uitvoering en configuratiewijzigingen.
Systems running OpenClaw versions 0 through 2026.2.14 are at risk, particularly those that process untrusted TAR archives. Environments where OpenClaw is used to process user-uploaded files or data from external sources are especially vulnerable.
disclosure
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28453 is het updaten van OpenClaw naar versie 2026.2.14 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra beveiligingsmaatregelen. Dit kan inhouden het beperken van de permissies van de gebruiker die de TAR-archieven uitpakt, het implementeren van een WAF (Web Application Firewall) om kwaadaardige pad traversal sequences te detecteren en te blokkeren, of het configureren van een proxy om de extractie van TAR-archieven te controleren. Controleer na de upgrade of de kwetsbaarheid is verholpen door te proberen een kwaadaardige TAR-archive te extraheren en te verifiëren dat bestanden niet buiten de beoogde directory worden geschreven.
Actualice la biblioteca OpenClaw a la versión 2026.2.14 o posterior. Esto corrige la vulnerabilidad de path traversal al validar correctamente las rutas de entrada de los archivos TAR durante la extracción.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28453 is a Path Traversal vulnerability in OpenClaw versions 0–2026.2.14 that allows attackers to write files outside the intended directory via malicious TAR archives, potentially leading to code execution.
You are affected if you are running OpenClaw versions 0 through 2026.2.14 and process TAR archives, especially those from untrusted sources.
Upgrade OpenClaw to version 2026.2.14 or later. If immediate upgrade is not possible, implement strict input validation on TAR archives.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the official OpenClaw security advisories on their website or GitHub repository for the most up-to-date information and guidance.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.