CVE-2026-28462 描述了 OpenClaw 软件中存在的路径遍历漏洞。该漏洞允许攻击者通过 API 访问,在指定位置写入文件,绕过安全限制。受影响的版本包括 0 到 2026.2.13。已发布补丁版本 2026.2.13,建议尽快升级。
该路径遍历漏洞允许攻击者在 OpenClaw 服务器上执行任意文件写入操作。攻击者可以利用 POST /trace/stop, POST /wait/download, 和 POST /download 端点,将恶意文件写入到服务器文件系统中的任意位置,例如覆盖关键系统文件或植入后门程序。这可能导致服务器被完全控制,数据泄露,甚至服务中断。由于漏洞利用不需要复杂的配置,且攻击者只需要API访问权限,因此潜在的攻击面非常广阔。
该漏洞已于 2026 年 3 月 5 日公开披露。目前尚未观察到大规模的公开利用,但由于漏洞利用相对简单,且攻击者只需要API访问权限,因此存在被利用的风险。建议密切关注安全社区的动态,及时更新安全情报。
Systems running OpenClaw versions 0 through 2026.2.13 are at risk, particularly those where the browser control API is exposed to untrusted users or applications. Shared hosting environments where multiple users share the same OpenClaw instance are also at elevated risk.
• other / general: Monitor file system activity for unexpected file creations or modifications in sensitive directories. Review access logs for suspicious requests targeting /trace/stop, /wait/download, and /download endpoints with unusual file paths.
• generic web: Use curl or wget to test endpoint exposure and attempt to write files to arbitrary locations. Example:
curl -X POST -d "output=/etc/passwd" http://<openclaw_server>/trace/stopdisclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
缓解此漏洞的首要措施是立即升级 OpenClaw 至 2026.2.13 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 API 访问权限,只允许授权用户访问相关端点。实施严格的文件访问控制,确保应用程序只能写入临时目录。监控文件系统活动,检测异常的文件写入操作。如果升级导致问题,请尝试回滚到之前的稳定版本,并联系 OpenClaw 支持寻求帮助。
将 OpenClaw 更新到 2026.2.13 或更高版本。此版本通过正确限制写入临时目录来修复路径遍历漏洞。更新可以减轻攻击者利用 API 访问权限在预期的临时路径之外写入文件的风险。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-28462 是 OpenClaw 软件中发现的路径遍历漏洞,允许攻击者在指定位置写入文件,绕过安全限制。
如果您正在使用 OpenClaw 的版本低于 2026.2.13,则可能受到此漏洞的影响。
请立即升级 OpenClaw 至 2026.2.13 或更高版本。
目前尚未观察到大规模的公开利用,但存在被利用的风险。
请访问 OpenClaw 官方网站或安全公告页面,查找有关 CVE-2026-28462 的详细信息。
CVSS 向量