Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.1
2026.2.1
A vulnerabilidade CVE-2026-28447 é uma falha de Path Traversal identificada no OpenClaw, um pacote npm. Essa falha permite que um plugin malicioso escape do diretório de extensões pretendido, possibilitando a escrita de arquivos em diretórios pai. As versões afetadas são OpenClaw npm >= 2026.1.20 e < 2026.2.1. A correção foi lançada na versão 2026.2.1.
Um atacante pode explorar essa vulnerabilidade criando um plugin malicioso com um nome específico no arquivo package.json. Ao instalar este plugin, o OpenClaw pode ser induzido a escrever arquivos fora do diretório de extensões esperado, potencialmente sobrescrevendo arquivos críticos do sistema ou executando código malicioso. O impacto pode variar dependendo das permissões do usuário que executa o OpenClaw, mas em cenários com permissões elevadas, o atacante pode obter controle total sobre o sistema. Essa vulnerabilidade se assemelha a outras falhas de Path Traversal que permitiram a execução remota de código e a exfiltração de dados confidenciais.
A vulnerabilidade foi divulgada em 2026-02-17. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA KEV catalog). Não foram identificados Proof of Concepts (PoCs) públicos até o momento. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação.
Developers and organizations using OpenClaw for plugin-based extensions are at risk. This includes those who automatically install plugins from untrusted sources or lack robust input validation on plugin names. Shared hosting environments where multiple users can install plugins are particularly vulnerable, as a malicious plugin installed by one user could potentially impact other users on the same server.
• nodejs / supply-chain:
npm list openclawCheck the installed version against the affected range (>= 2026.1.20, < 2026.2.1). • nodejs / supply-chain:
find node_modules -name 'package.json' -print0 | xargs -0 grep -i 'name: @ma' Search for plugins with suspicious names containing '@ma' or similar patterns. • generic web: Inspect plugin installation directories for unexpected files or modifications.
disclosure
patch
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-28447 é atualizar o OpenClaw para a versão 2026.2.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir as permissões do usuário que executa o OpenClaw para limitar o impacto potencial de uma exploração bem-sucedida. Implementar regras de firewall ou proxy para bloquear o acesso não autorizado ao diretório de instalação do OpenClaw também pode ajudar a reduzir o risco. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de escrita de arquivos em locais inesperados.
Actualice OpenClaw a la versión 2026.2.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la instalación de plugins. La actualización evitará que atacantes escriban archivos fuera del directorio de extensiones previsto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28447 is a Path Traversal vulnerability in the OpenClaw npm package, allowing malicious plugin names to write files outside the intended installation directory.
You are affected if you are using OpenClaw versions 2026.1.20 and higher, but before 2026.2.1.
Upgrade the OpenClaw npm package to version 2026.2.1 or later. Consider input validation on plugin names as an interim measure.
As of the public disclosure date, there is no evidence of active exploitation or publicly available proof-of-concept code.
Refer to the npm advisory and OpenClaw's project repository for the latest information and updates regarding CVE-2026-28447.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.