Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.13
Uma vulnerabilidade de Path Traversal foi descoberta no OpenClaw, afetando versões anteriores a 2026.2.13. Esta falha permite que atacantes com acesso à API escrevam arquivos fora dos diretórios temporários designados, comprometendo a integridade do sistema. A vulnerabilidade reside nas APIs de controle do navegador, especificamente nos endpoints POST /trace/stop, POST /wait/download e POST /download. A correção foi lançada na versão 2026.2.13.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante grave arquivos arbitrários em locais não autorizados no sistema de arquivos. Isso pode levar à execução remota de código, roubo de dados confidenciais, ou modificação de arquivos críticos do sistema. O impacto é amplificado se o OpenClaw for utilizado em ambientes de produção com acesso à rede, pois um atacante pode potencialmente comprometer todo o sistema. A capacidade de escrever arquivos fora dos diretórios temporários abre portas para a instalação de malware ou a modificação de configurações do sistema, resultando em um alto risco de comprometimento.
A vulnerabilidade foi divulgada em 2026-03-05. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração pode ser relativamente simples para atacantes com conhecimento das APIs do OpenClaw.
Systems running OpenClaw versions 0 through 2026.2.13 are at risk, particularly those where the browser control API is exposed to untrusted users or applications. Shared hosting environments where multiple users share the same OpenClaw instance are also at elevated risk.
• other / general: Monitor file system activity for unexpected file creations or modifications in sensitive directories. Review access logs for suspicious requests targeting /trace/stop, /wait/download, and /download endpoints with unusual file paths.
• generic web: Use curl or wget to test endpoint exposure and attempt to write files to arbitrary locations. Example:
curl -X POST -d "output=/etc/passwd" http://<openclaw_server>/trace/stopdisclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 2026.2.13 ou superior do OpenClaw. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à API apenas a usuários autorizados e monitorar os endpoints vulneráveis em busca de atividades suspeitas. Implementar regras de firewall para bloquear o tráfego não autorizado para os endpoints /trace/stop, /wait/download e /download também pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando os logs do sistema para garantir que não há tentativas de escrita de arquivos fora dos diretórios temporários.
Actualice OpenClaw a la versión 2026.2.13 o posterior. Esta versión corrige la vulnerabilidad de path traversal al restringir correctamente las escrituras a directorios temporales. La actualización mitiga el riesgo de que atacantes con acceso a la API escriban archivos fuera de las rutas temporales previstas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28462 is a Path Traversal vulnerability affecting OpenClaw versions 0–2026.2.13, allowing attackers to write files outside intended directories via API access.
If you are running OpenClaw versions 0 through 2026.2.13 and expose the browser control API, you are potentially affected by this vulnerability.
Upgrade OpenClaw to version 2026.2.13 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting API access and input validation.
As of the current assessment, there are no confirmed reports of active exploitation, but the vulnerability's nature suggests a potential for exploitation.
Refer to the official OpenClaw security advisory for detailed information and updates regarding CVE-2026-28462.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.