CVE-2026-28462

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores à 2026.2.13

Descrição A API de controle do navegador no OpenClaw aceita caminhos de saída fornecidos pelo usuário para arquivos de trace e download sem restringir consistentemente as gravações aos diretórios temporários. Atacantes com acesso à API podem explorar path traversal nos seguintes endpoints da API para gravar arquivos fora dos diretórios temporários pretendidos: /trace/stop, /wait/download e /download. O método POST é utilizado para esses endpoints. Os parâmetros ou variáveis vulneráveis não são mencionados explicitamente.

Recomendações Atualize para a versão 2026.2.13 ou posterior.