CVE-2026-28393

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões 2.0.0-beta3 até 2026.2.13

Descrição O software OpenClaw contém uma vulnerabilidade de transversão de caminho no processo de carregamento do módulo de transformação do hook, que pode levar à execução arbitrária de JavaScript. O parâmetro hooks.mappings[].transform.module é suscetível a aceitar caminhos absolutos e sequências de transversão. Um atacante com acesso de escrita à configuração pode explorar isso para carregar e executar módulos maliciosos com os privilégios do processo do gateway. O problema ocorre porque a resolução de caminhos anteriormente aceitava caminhos absolutos e não impunha a contenção para caminhos relativos, permitindo que uma transformação controlada pela configuração seja resolvida fora do diretório de transformações pretendido.

Recomendações Atualize o OpenClaw para a versão 2026.2.14 ou posterior.