Platform
nodejs
Component
openclaw
Opgelost in
2026.2.12
CVE-2026-28482 beschrijft een Path Traversal kwetsbaarheid in OpenClaw. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om bestanden buiten de toegestane sessiedirectory te benaderen. De kwetsbaarheid treedt op in versies van OpenClaw tussen 0 en 2026.2.12. Een upgrade naar versie 2026.2.12 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op het systeem waarop OpenClaw draait. Aanvallers kunnen bijvoorbeeld configuratiebestanden, wachtwoorden of andere vertrouwelijke gegevens lezen. Door het schrijven van bestanden buiten de sessiedirectory kan een aanvaller ook de functionaliteit van het systeem verstoren of zelfs de controle over het systeem overnemen. Dit is vergelijkbaar met de impact van traditionele path traversal aanvallen, waarbij de directory structuur wordt misbruikt om toegang te krijgen tot gebieden die normaal gesproken beschermd zouden moeten zijn.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-05. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De KEV status is momenteel onbekend. De CVSS score van 7.1 (HIGH) duidt op een significant risico.
Organizations utilizing OpenClaw for agent management, particularly those with legacy configurations or shared hosting environments, are at risk. Environments where OpenClaw interacts with sensitive data or critical infrastructure are especially vulnerable and should prioritize patching.
disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-28482 is het upgraden van OpenClaw naar versie 2026.2.12 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de gebruiker die OpenClaw uitvoert, zodat deze geen toegang heeft tot gevoelige bestanden buiten de sessiedirectory. Het implementeren van een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren kan ook helpen. Controleer de sessieID en sessionFile parameters op verdachte patronen zoals '..'.
Actualice OpenClaw a la versión 2026.2.12 o posterior. Esta versión corrige las vulnerabilidades de path traversal al sanitizar los parámetros sessionId y sessionFile, previniendo el acceso no autorizado a archivos fuera del directorio de sesiones del agente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-28482 is a Path Traversal vulnerability in OpenClaw allowing authenticated attackers to read/write arbitrary files due to unsanitized session parameters. It has a CVSS score of 7.1 (HIGH).
You are affected if you are running OpenClaw versions 0–2026.2.12. Upgrade to 2026.2.12 to mitigate the risk.
Upgrade OpenClaw to version 2026.2.12 or later. As a temporary workaround, restrict directory access controls for the agent sessions directory.
There is currently no indication of active exploitation, but the vulnerability's severity warrants monitoring.
Refer to the OpenClaw security advisories on their official website or GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.