Platform
nodejs
Component
openclaw
Opgelost in
2026.2.13
CVE-2026-28462 beschrijft een Path Traversal kwetsbaarheid in OpenClaw, een open-source emulator. Deze kwetsbaarheid stelt aanvallers met API toegang in staat om bestanden buiten de beoogde tijdelijke mappen te schrijven via specifieke endpoints. De kwetsbaarheid treft versies van OpenClaw van 0 tot en met 2026.2.13. Een fix is beschikbaar in versie 2026.2.13.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde bestandsschrijving op het systeem waar OpenClaw draait. Aanvallers kunnen potentieel kritieke systeembestanden overschrijven, waardoor de integriteit van het systeem in gevaar komt. Dit kan leiden tot een compromittering van de hele omgeving. De kwetsbaarheid is specifiek gekoppeld aan de browser control API en endpoints zoals POST /trace/stop, POST /wait/download en POST /download. Het vermogen om bestanden buiten de tijdelijke mappen te schrijven, vergroot de impact aanzienlijk, omdat aanvallers toegang kunnen krijgen tot gevoelige data of de werking van het systeem kunnen verstoren.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 5 maart 2026. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat wijst op een potentieel risico, maar de exacte EPSS score is momenteel niet bekend.
Systems running OpenClaw versions 0 through 2026.2.13 are at risk, particularly those where the browser control API is exposed to untrusted users or applications. Shared hosting environments where multiple users share the same OpenClaw instance are also at elevated risk.
• other / general: Monitor file system activity for unexpected file creations or modifications in sensitive directories. Review access logs for suspicious requests targeting /trace/stop, /wait/download, and /download endpoints with unusual file paths.
• generic web: Use curl or wget to test endpoint exposure and attempt to write files to arbitrary locations. Example:
curl -X POST -d "output=/etc/passwd" http://<openclaw_server>/trace/stopdisclosure
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28462 is het upgraden van OpenClaw naar versie 2026.2.13 of hoger. Indien een upgrade momenteel niet mogelijk is, kan het beperken van API toegang tot vertrouwde gebruikers een tijdelijke maatregel zijn. Het implementeren van strikte directory permissies en het monitoren van bestandstoegangspogingen op de tijdelijke mappen kan verdere bescherming bieden. Het is belangrijk om de configuratie van de browser control API te beoordelen en te zorgen voor een veilige implementatie. Na de upgrade, controleer de logbestanden op ongebruikelijke bestandstoegangspogingen.
Actualice OpenClaw a la versión 2026.2.13 o posterior. Esta versión corrige la vulnerabilidad de path traversal al restringir correctamente las escrituras a directorios temporales. La actualización mitiga el riesgo de que atacantes con acceso a la API escriban archivos fuera de las rutas temporales previstas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28462 is a Path Traversal vulnerability affecting OpenClaw versions 0–2026.2.13, allowing attackers to write files outside intended directories via API access.
If you are running OpenClaw versions 0 through 2026.2.13 and expose the browser control API, you are potentially affected by this vulnerability.
Upgrade OpenClaw to version 2026.2.13 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting API access and input validation.
As of the current assessment, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official OpenClaw security advisory for detailed information and updates regarding CVE-2026-28462.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.