Plataforma
nodejs
Componente
openclaw
Corrigido em
2026.2.12
A vulnerabilidade CVE-2026-28482 é um problema de Path Traversal identificado no OpenClaw, afetando versões anteriores a 2026.2.12. Atacantes autenticados podem explorar essa falha para ler ou escrever arquivos arbitrários fora do diretório de sessões do agente, comprometendo a confidencialidade e integridade do sistema. A correção foi disponibilizada na versão 2026.2.12.
Um atacante autenticado pode explorar a vulnerabilidade de Path Traversal no OpenClaw injetando sequências de path traversal, como ../../etc/passwd, nos parâmetros sessionId ou sessionFile. Isso permite que o atacante acesse arquivos sensíveis fora do diretório de sessões do agente, como arquivos de configuração, senhas ou dados de usuários. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, execução de código arbitrário ou até mesmo à tomada de controle do sistema. A falta de validação adequada dos parâmetros de caminho permite que um atacante contorne as restrições de diretório, abrindo caminho para acesso não autorizado.
A vulnerabilidade foi divulgada em 2026-03-05. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada baixa a moderada, dependendo da exposição do OpenClaw e da implementação de medidas de segurança adicionais.
Organizations utilizing OpenClaw for agent management, particularly those with legacy configurations or shared hosting environments, are at risk. Environments where OpenClaw interacts with sensitive data or critical infrastructure are especially vulnerable and should prioritize patching.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-28482 é a atualização imediata para a versão 2026.2.12 ou superior do OpenClaw. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao serviço OpenClaw apenas a usuários autorizados e monitorar logs de auditoria em busca de atividades suspeitas. Implementar regras de firewall para limitar o acesso à rede e restringir o acesso a arquivos sensíveis também pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando se os parâmetros sessionId e sessionFile são devidamente validados e que o acesso a arquivos fora do diretório de sessões do agente está bloqueado.
Actualice OpenClaw a la versión 2026.2.12 o posterior. Esta versión corrige las vulnerabilidades de path traversal al sanitizar los parámetros sessionId y sessionFile, previniendo el acceso no autorizado a archivos fuera del directorio de sesiones del agente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28482 is a Path Traversal vulnerability in OpenClaw allowing authenticated attackers to read/write arbitrary files due to unsanitized session parameters. It has a CVSS score of 7.1 (HIGH).
You are affected if you are running OpenClaw versions 0–2026.2.12. Upgrade to 2026.2.12 to mitigate the risk.
Upgrade OpenClaw to version 2026.2.12 or later. As a temporary workaround, restrict directory access controls for the agent sessions directory.
There is currently no indication of active exploitation, but the vulnerability's severity warrants monitoring.
Refer to the OpenClaw security advisories on their official website or GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.