Plataforma
javascript
Componente
openclaw
Corrigido em
2026.2.14
Uma vulnerabilidade de Path Traversal foi descoberta no OpenClaw, afetando versões 2.0.0-beta3 até a 2026.2.14. Essa falha reside no módulo de carregamento de transformações de hooks, permitindo que atacantes com acesso de escrita à configuração carreguem e executem módulos JavaScript maliciosos com privilégios do processo gateway. A vulnerabilidade foi publicada em 05 de março de 2026 e corrigida na versão 2026.2.14.
A exploração bem-sucedida desta vulnerabilidade permite a execução de código JavaScript arbitrário no contexto do processo gateway do OpenClaw. Isso significa que um atacante pode potencialmente comprometer a integridade e a confidencialidade dos dados processados pelo OpenClaw, bem como obter acesso não autorizado a recursos do sistema. O impacto é amplificado pelo fato de que o atacante precisa apenas de acesso de escrita à configuração, o que pode ser mais fácil de obter do que acesso root ou administrativo. A capacidade de executar código arbitrário abre portas para diversas ações maliciosas, incluindo roubo de dados, modificação de dados, e até mesmo a tomada de controle completa do sistema.
A vulnerabilidade foi divulgada publicamente em 05 de março de 2026. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há conhecimento público de um Proof of Concept (PoC) ativo ou campanhas de exploração em andamento, mas a natureza da vulnerabilidade (Path Traversal com execução de código) a torna um alvo potencial para exploração futura.
Organizations and individuals using OpenClaw, particularly those with publicly accessible instances or those who allow external users to modify configuration files, are at risk. Environments where OpenClaw is integrated with other systems or services are also at increased risk due to the potential for lateral movement.
• javascript: Examine OpenClaw configuration files for suspicious entries in the hooks.mappings[].transform.module parameter, particularly those containing absolute paths or traversal sequences (e.g., ../).
• javascript: Monitor OpenClaw logs for errors or warnings related to module loading failures, which could indicate an attempted exploitation.
• javascript: Use a debugger to step through the hook transform module loading process and identify any unexpected file access patterns.
disclosure
Status do Exploit
EPSS
0.10% (percentil 27%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 2026.2.14 ou superior do OpenClaw. Se a atualização imediata não for possível, considere restringir o acesso de escrita à configuração do OpenClaw, limitando quais usuários ou processos podem modificar as configurações. Implementar uma camada de segurança, como um Web Application Firewall (WAF), pode ajudar a detectar e bloquear tentativas de exploração. Monitore os logs do OpenClaw em busca de atividades suspeitas, como tentativas de carregar módulos de fontes desconhecidas. Verifique, após a atualização, se os módulos de hook estão sendo carregados apenas de fontes confiáveis e se as permissões de acesso à configuração estão corretamente restritas.
Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la carga de módulos JavaScript. La actualización evitará la ejecución de código JavaScript arbitrario.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28393 is a Path Traversal vulnerability in OpenClaw versions 2.0.0-beta3–2026.2.14, allowing attackers to execute arbitrary JavaScript code with gateway process privileges.
You are affected if you are using OpenClaw versions 2.0.0-beta3 through 2026.2.14 and have not yet upgraded to version 2026.2.14 or later.
Upgrade OpenClaw to version 2026.2.14 or later. Back up your configuration files before upgrading and restrict write access to configuration files as a temporary workaround.
There is currently no evidence of active exploitation in the wild, and no public proof-of-concept code has been released.
Refer to the OpenClaw project's official website and security advisories for the latest information and updates regarding CVE-2026-28393.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.