HIGHCVE-2026-28447CVSS 8.1

OpenClaw 在插件安装中存在路径遍历漏洞

Q: 什么是 CVE-2026-28447 — 路径遍历漏洞在 openclaw 中?

CVE-2026-28447 是 openclaw npm 包中发现的路径遍历漏洞，允许攻击者通过恶意插件的 package.json name 字段逃逸安装目录，写入任意文件。

Q: 我是否受到 CVE-2026-28447 在 openclaw 中影响?

如果您使用的是 openclaw npm 包 2026.1.20 及以上，但不包括 2026.2.1 及更高版本，则您可能受到影响。

Q: 我如何修复 CVE-2026-28447 在 openclaw 中?

请立即升级 openclaw npm 包至 2026.2.1 或更高版本。

Q: CVE-2026-28447 是否正在被积极利用?

目前尚未公开发现针对此漏洞的公开利用代码，但已添加到 CISA KEV 目录，表明其具有中等概率被利用。

Q: 在哪里可以找到 openclaw 官方针对 CVE-2026-28447 的公告?

请查阅 openclaw npm 包的官方文档或 GitHub 仓库，以获取有关此漏洞的更多信息和修复指南。

平台

nodejs

组件

openclaw

修复版本

2026.2.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-28447 是 openclaw npm 包中的路径遍历漏洞。该漏洞允许攻击者通过恶意插件的 package.json name 字段，逃逸插件安装目录，并向父目录写入文件，从而可能导致任意代码执行或信息泄露。受影响的版本包括 openclaw npm 包 2026.1.20 及以上，但不包括 2026.2.1 及更高版本。目前已发布修复版本 2026.2.1。

影响与攻击场景

攻击者可以利用此漏洞在 openclaw 插件安装目录的父目录中写入任意文件。这可能导致多种严重后果，例如：攻击者可以覆盖关键系统文件，从而导致系统崩溃或拒绝服务；攻击者可以写入恶意代码，并在 openclaw 运行时执行；攻击者还可以读取敏感信息，例如配置文件或数据库凭据。由于 openclaw 广泛应用于 Node.js 应用中，因此该漏洞的潜在影响范围非常广泛。如果攻击者能够成功利用此漏洞，可能会导致整个系统的安全受到威胁。

利用背景

目前尚未公开发现针对此漏洞的公开利用代码 (POC)。该漏洞已添加到 CISA KEV 目录，表明其具有中等概率被利用。建议密切关注安全社区的动态，及时获取最新的漏洞信息和缓解措施。NVD 发布日期为 2026-02-17。

哪些人处于风险中翻译中…

Developers and organizations using OpenClaw for plugin-based extensions are at risk. This includes those who automatically install plugins from untrusted sources or lack robust input validation on plugin names. Shared hosting environments where multiple users can install plugins are particularly vulnerable, as a malicious plugin installed by one user could potentially impact other users on the same server.

检测步骤翻译中…

• nodejs / supply-chain:

  npm list openclaw

Check the installed version against the affected range (>= 2026.1.20, < 2026.2.1). • nodejs / supply-chain:

  find node_modules -name 'package.json' -print0 | xargs -0 grep -i 'name: @ma'

Search for plugins with suspicious names containing '@ma' or similar patterns. • generic web: Inspect plugin installation directories for unexpected files or modifications.

攻击时间线

2026-02-17Disclosure
disclosure
2026-02-14Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (8% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件openclaw

供应商osv

影响范围修复版本

2026.1.29-beta.1 – 2026.2.12026.2.1

2026.1.202026.2.1

弱点分类 (CWE)

CWE-22

时间线

已保留2026-02-27
发布日期2026-02-17
修改日期2026-03-13
EPSS 更新日期2026-03-23

缓解措施和替代方案

缓解此漏洞的首要措施是立即升级 openclaw npm 包至 2026.2.1 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制 openclaw 插件的安装目录，使其只能写入受信任的插件。其次，实施严格的文件访问控制，防止攻击者写入关键系统文件。第三，使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求，阻止攻击者利用此漏洞。最后，监控 openclaw 的日志文件，及时发现异常活动。

修复方法翻译中…

Actualice OpenClaw a la versión 2026.2.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal en la instalación de plugins. La actualización evitará que atacantes escriban archivos fuera del directorio de extensiones previsto.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-28447 — 路径遍历漏洞在 openclaw 中?