CVE-2026-28447

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw de 2026.1.20 a 2026.2.1

Descrição O processo de instalação de plugins do software não valida corretamente os nomes dos pacotes de plugins, permitindo que atacantes gravem arquivos fora do diretório de instalação pretendido. Especificamente, nomes de pacotes de plugins maliciosos contendo sequências de path traversal, como '..', podem escapar do diretório de extensões durante a instalação. Isso pode levar a gravações de arquivos não intencionais, potencialmente sobrescrevendo arquivos no diretório de estado do OpenClaw. Em sistemas Windows, a superfície de traversal pode ser mais ampla devido à sanitização insuficiente de barras invertidas no nome do diretório derivado. O campo name do package.json é usado para derivar o diretório de instalação sem validação robusta. A função vulnerável é unscopedPackageName(). O endpoint da API envolvido é openclaw plugins install. A variável package.json é utilizada no ataque.

Recomendações As versões de 2026.1.20 a 2026.2.1 devem ser atualizadas para a versão 2026.2.1 ou posterior.