目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-28393— OpenClaw 代码问题漏洞

CVSS 7.7 · High EPSS 0.11% · P28
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-28393の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
OpenClaw 2.0.0-beta3 < 2026.2.14 - Arbitrary JavaScript Module Loading via Hook Transform Path Traversal
ソース: NVD (National Vulnerability Database)
脆弱性説明
OpenClaw versions 2.0.0-beta3 prior to 2026.2.14 contain a path traversal vulnerability in hook transform module loading that allows arbitrary JavaScript execution. The hooks.mappings[].transform.module parameter accepts absolute paths and traversal sequences, enabling attackers with configuration write access to load and execute malicious modules with gateway process privileges.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对路径名的限制不恰当(路径遍历)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
OpenClaw 代码问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
OpenClaw是openclaw开源的一个智能人工助理。 OpenClaw 2.0.0-beta3至2026.2.14之前版本存在代码问题漏洞,该漏洞源于hook transform模块加载存在路径遍历,可能导致执行任意JavaScript代码。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
OpenClawOpenClaw 2.0.0-beta3 ~ 2026.2.14 -

II. CVE-2026-28393の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-28393のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · OpenClaw · 2026-03-05 · 46 CVEs total

CVE-2026-284669.9 CRITICALOpenClaw < 2026.2.14 - Remote Code Execution via Node Invoke Approval Bypass
CVE-2026-284749.8 CRITICALOpenClaw Nextcloud Talk < 2026.2.6 - Allowlist Bypass via actor.name Display Name Spoofing
CVE-2026-283919.8 CRITICALOpenClaw < 2026.2.2 - Command Injection via cmd.exe Parsing Bypass in Allowlist Enforcemen
CVE-2026-284709.8 CRITICALOpenClaw < 2026.2.2 - Exec Allowlist Bypass via Command Substitution in Double Quotes
CVE-2026-284469.4 CRITICALOpenClaw < 2026.2.1 - Inbound Allowlist Policy Bypass in voice-call Extension via Empty Ca
CVE-2026-296108.8 HIGHOpenClaw < 2026.2.14 - Command Hijacking via Unsafe PATH Handling
CVE-2026-284638.4 HIGHOpenClaw < 2026.2.14 - Arbitrary File Read via Shell Expansion in Safe Bins Allowlist
CVE-2026-284858.4 HIGHOpenClaw 2026.1.5 < 2026.2.12 - Missing Authentication in Browser Control HTTP Endpoints
CVE-2026-284768.3 HIGHOpenClaw < 2026.2.14 - Server-Side Request Forgery in Tlon Extension Authentication
CVE-2026-284518.3 HIGHOpenClaw < 2026.2.14 - SSRF via Feishu Extension Media Fetching
CVE-2026-284478.1 HIGHOpenClaw 2026.1.29-beta.1 < 2026.2.1 - Path Traversal in Plugin Installation via Package N
CVE-2026-284738.1 HIGHOpenClaw < 2026.2.2 - Authorization Bypass via /approve Chat Command
CVE-2026-284588.1 HIGHOpenClaw 2026.1.20 < 2026.2.1 - Missing Authentication in Browser Relay /cdp WebSocket End
CVE-2026-284728.1 HIGHOpenClaw < 2026.2.2 - Device Identity Check Bypass in Gateway WebSocket Connect Handshake
CVE-2026-284687.7 HIGHOpenClaw 2026.1.29-beta.1 < 2026.2.14 - Authentication Bypass in Sandbox Browser Bridge Se
CVE-2026-284547.5 HIGHOpenClaw < 2026.2.2 - Authorization Bypass via Unauthenticated Telegram Webhook
CVE-2026-296117.5 HIGHOpenClaw < 2026.2.14 - Local File Inclusion via mediaPath Parameter in BlueBubbles Media H
CVE-2026-284697.5 HIGHOpenClaw < 2026.2.14 - Cross-Account Policy Context Misrouting via Shared Webhook Path Amb
CVE-2026-284797.5 HIGHOpenClaw < 2026.2.15 - Cache Poisoning via Deprecated SHA-1 Hash in Sandbox Configuration
CVE-2026-283927.5 HIGHOpenClaw < 2026.2.14 - Privilege Escalation in Slack Slash Command Handler via Direct Mess

Showing 20 of 46 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: OpenClaw
同じベンダー: OpenClaw
同じ弱点: CWE-22

V. CVE-2026-28393へのコメント

まだコメントはありません

コメントを残す