CVE-2026-28486

Nome do Software Vulnerável e Versões Afetadas OpenClaw das versões 2026.1.16-2 até 2026.2.13

Descrição Existe uma vulnerabilidade de travessia de caminho na extração de arquivos durante comandos de instalação. Isso permite que um arquivo especialmente criado escreva arquivos fora do diretório de extração pretendido. O problema afeta usuários que executam comandos de instalação contra arquivos não confiáveis, como aqueles baixados de um arquivo local ou URL. Especificamente, os comandos afetados incluem openclaw skills install, openclaw hooks install, openclaw plugins install e openclaw signal install. A exploração bem-sucedida pode levar à escrita arbitrária de arquivos como o usuário atual, potencialmente permitindo persistência ou execução de código se um atacante conseguir convencer um usuário a instalar um arquivo malicioso.

Recomendações Atualize para a versão 2026.2.14 ou posterior.