CVE-2026-28457

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.14

Descrição O software contém uma vulnerabilidade de path traversal no espelhamento de skills em sandbox quando o parâmetro name do frontmatter da skill é utilizado sem a devida sanitização durante a cópia da skill para o workspace da sandbox. Um atacante pode fornecer um pacote de skill especialmente construído com sequências de traversal, como '../' ou caminhos absolutos, dentro do campo name para gravar arquivos fora do diretório raiz designado do workspace da sandbox. Isso poderia permitir a gravação de arquivos com as permissões do usuário que executa o OpenClaw. O problema requer que o atacante forneça um pacote de skill e que a vítima tenha o modo sandbox habilitado com o espelhamento de skill ativo.

Recomendações Atualize para a versão 2026.2.14 ou posterior.