HIGHCVE-2026-28393CVSS 7.7

OpenClaw 2.0.0-beta3 < 2026.2.14 - 通过 Hook 转换路径遍历加载任意 JavaScript 模块

Q: 什么是 CVE-2026-28393 — 路径遍历漏洞在 OpenClaw 中？

CVE-2026-28393 是 OpenClaw 2.0.0-beta3 到 2026.2.14 版本中发现的路径遍历漏洞，允许攻击者通过配置写入权限加载并执行恶意 JavaScript 模块。

Q: 我是否受到 CVE-2026-28393 在 OpenClaw 中影响？

如果您正在使用 OpenClaw 2.0.0-beta3 到 2026.2.14 之间的版本，则可能受到影响。请立即升级至 2026.2.14 或更高版本。

Q: 我如何修复 CVE-2026-28393 在 OpenClaw 中？

最简单的修复方法是升级至 OpenClaw 2026.2.14 或更高版本。如果无法升级，请限制对钩子配置文件的写入访问权限。

Q: CVE-2026-28393 是否正在被积极利用？

目前尚未观察到大规模利用，但由于漏洞的严重性和易于利用，预计可能会成为攻击者的目标。

Q: 在哪里可以找到 OpenClaw 官方关于 CVE-2026-28393 的公告？

请查阅 OpenClaw 官方安全公告或 GitHub 仓库以获取更多信息。

平台

javascript

组件

openclaw

修复版本

2026.2.14

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-28393 是 OpenClaw 中发现的路径遍历漏洞。该漏洞允许攻击者利用配置写入权限，加载并执行任意 JavaScript 代码，从而可能导致系统被控制。受影响的版本包括 2.0.0-beta3 到 2026.2.14。已发布修复版本 2026.2.14，建议立即升级。

影响与攻击场景

该路径遍历漏洞存在于 OpenClaw 的钩子转换模块加载过程中。攻击者可以通过操纵 hooks.mappings[].transform.module 参数，该参数允许指定模块路径，利用绝对路径和路径遍历序列，加载并执行恶意 JavaScript 模块。由于钩子模块通常以具有 gateway 进程特权的身份运行，因此成功利用此漏洞可能导致攻击者完全控制 OpenClaw 实例，并可能进一步影响其底层系统。攻击者可以利用此漏洞窃取敏感数据、篡改系统配置或执行其他恶意操作。

利用背景

该漏洞已于 2026 年 3 月 5 日公开披露。目前尚未观察到大规模利用，但由于漏洞的严重性和易于利用，预计可能会成为攻击者的目标。建议密切关注安全社区的动态，并及时采取缓解措施。目前尚未将其添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

Organizations and individuals using OpenClaw, particularly those with publicly accessible instances or those who allow external users to modify configuration files, are at risk. Environments where OpenClaw is integrated with other systems or services are also at increased risk due to the potential for lateral movement.

检测步骤翻译中…

• javascript: Examine OpenClaw configuration files for suspicious entries in the hooks.mappings[].transform.module parameter, particularly those containing absolute paths or traversal sequences (e.g., ../). • javascript: Monitor OpenClaw logs for errors or warnings related to module loading failures, which could indicate an attempted exploitation. • javascript: Use a debugger to step through the hook transform module loading process and identify any unexpected file access patterns.

攻击时间线

2026-03-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.10% (27% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件openclaw

供应商OpenClaw

影响范围修复版本

2.0.0-beta3 – 2026.2.142026.2.14

弱点分类 (CWE)

CWE-22

时间线

已保留2026-02-27
发布日期2026-03-05
修改日期2026-03-11
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 OpenClaw 升级至 2026.2.14 或更高版本。如果无法立即升级，可以考虑限制对钩子配置文件的写入访问权限，仅允许受信任的用户或进程进行修改。此外，实施严格的输入验证，以防止攻击者注入恶意路径。监控 OpenClaw 日志，查找任何异常模块加载或执行行为。如果无法升级，请审查钩子配置，确保没有可利用的路径遍历。

修复方法翻译中…

Actualice OpenClaw a la versión 2026.2.14 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la carga de módulos JavaScript. La actualización evitará la ejecución de código JavaScript arbitrario.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-28393 — 路径遍历漏洞在 OpenClaw 中？