平台
nodejs
组件
openclaw
修复版本
2026.2.14
CVE-2026-28453 是 OpenClaw 中的路径遍历漏洞。此漏洞允许攻击者通过构造恶意的 TAR 归档文件,利用路径遍历序列(例如 ../../)在文件提取过程中将文件写入到预期目录之外。受影响的版本包括 OpenClaw 0 至 2026.2.14。已发布修复版本 2026.2.14。
攻击者可以利用此漏洞将恶意文件写入 OpenClaw 的文件系统,绕过正常的访问控制机制。这可能导致对 OpenClaw 配置文件进行篡改,从而改变其行为。更严重的是,攻击者可能能够将恶意代码写入到 OpenClaw 的可执行文件中,从而实现远程代码执行。由于 OpenClaw 经常用于处理敏感数据,因此此漏洞可能导致数据泄露、系统损坏,甚至完全控制受影响的系统。攻击者可能利用此漏洞进行横向移动,攻击其他依赖于 OpenClaw 服务的系统。
目前尚未公开发现针对此漏洞的利用代码,但由于路径遍历漏洞的普遍性,预计未来可能会出现。该漏洞已添加到 NVD 数据库中,CISA 尚未将其添加到 KEV 目录。建议密切关注安全社区的动态,并及时采取缓解措施。
Systems running OpenClaw versions 0 through 2026.2.14 are at risk, particularly those that process untrusted TAR archives. Environments where OpenClaw is used to process user-uploaded files or data from external sources are especially vulnerable.
disclosure
漏洞利用状态
EPSS
0.08% (24% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 OpenClaw 2026.2.14 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤包含路径遍历序列的 TAR 归档文件。此外,可以限制 OpenClaw 进程的权限,使其只能访问必要的文件和目录。监控 OpenClaw 的日志文件,查找任何异常的文件写入活动。在升级后,验证 OpenClaw 的配置是否完整且未被篡改。
Actualice la biblioteca OpenClaw a la versión 2026.2.14 o posterior. Esto corrige la vulnerabilidad de path traversal al validar correctamente las rutas de entrada de los archivos TAR durante la extracción.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-28453 是 OpenClaw 0 至 2026.2.14 版本中发现的路径遍历漏洞,攻击者可以利用 TAR 归档中的路径遍历序列写入文件到预期目录之外,可能导致配置篡改和代码执行。
如果您正在使用 OpenClaw 0 至 2026.2.14 版本,则您可能受到此漏洞的影响。请立即升级到 2026.2.14 或更高版本。
最有效的修复方法是升级到 OpenClaw 2026.2.14 或更高版本。如果无法升级,请考虑使用 WAF 或限制 OpenClaw 进程的权限。
目前尚未公开发现针对此漏洞的利用代码,但建议密切关注安全社区的动态。
请访问 OpenClaw 的官方网站或安全公告页面,查找有关 CVE-2026-28453 的详细信息。
CVSS 向量