CVE-2026-28453

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.14

Descrição As versões do OpenClaw anteriores a 2026.2.14 não validam corretamente os caminhos de entrada de arquivos TAR durante a extração. Um arquivo manipulado pode usar sequências de travessia de caminho, como ../../..., para gravar arquivos fora do diretório de destino pretendido, uma condição conhecida como Zip Slip. O caminho de código afetado é a função extractArchive() em src/infra/archive.ts, que utilizava tar.x({ cwd: destDir }) sem rejeitar caminhos de entrada de travessia e absolutos. Este problema afeta os fluxos de instalação, incluindo openclaw plugins install e openclaw hooks install. Um atacante que explorar com sucesso este problema pode gravar arquivos fora do diretório de extração com as permissões do processo OpenClaw, potencialmente levando à adulteração de configuração e execução de código.

Recomendações Atualize para a versão 2026.2.14 ou posterior do OpenClaw. Evite instalar arquivos de plugin ou hook não confiáveis.