Vulnerabilidad en OpenClaw (CVE-2026-28393)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
05/03/2026
Última modificación:
11/03/2026
Descripción
Las versiones de OpenClaw 2.0.0-beta3 anteriores a 2026.2.14 contienen una vulnerabilidad de salto de ruta en la carga del módulo de transformación de hooks que permite la ejecución arbitraria de JavaScript. El parámetro hooks.mappings[].transform.module acepta rutas absolutas y secuencias de salto, lo que permite a los atacantes con acceso de escritura a la configuración cargar y ejecutar módulos maliciosos con privilegios del proceso de la pasarela.
Impacto
Puntuación base 4.0
8.30
Gravedad 4.0
ALTA
Puntuación base 3.x
7.70
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:* | 2026.1.4 (incluyendo) | 2026.2.14 (excluyendo) |
| cpe:2.3:a:openclaw:openclaw:2.0.0:beta3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openclaw:openclaw:2.0.0:beta4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:openclaw:openclaw:2.0.0:beta5:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/openclaw/openclaw/commit/18e8bd68c5015a894f999c6d5e6e32468965bfb5
- https://github.com/openclaw/openclaw/commit/a0361b8ba959e8506dc79d638b6e6a00d12887e4
- https://github.com/openclaw/openclaw/security/advisories/GHSA-7xhj-55q9-pc3m
- https://www.vulncheck.com/advisories/openclaw-beta-arbitrary-javascript-module-loading-via-hook-transform-path-traversal