VDB-349396 · CVE-2026-28463 · GHSA-xvhf-x56f-2hpp

OpenClaw bis 2026.2.13 Authorized Call erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
7.1	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle in OpenClaw bis 2026.2.13 ausgemacht. Sie wurde als kritisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente Authorized Call Handler. Die Bearbeitung verursacht erweiterte Rechte. Diese Sicherheitslücke ist unter CVE-2026-28463 bekannt. Der Angriff muss lokal passieren. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.

Detailsinfo

In OpenClaw bis 2026.2.13 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Das betrifft ein unbekannter Codeblock der Komponente Authorized Call Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-78. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

OpenClaw exec-approvals allowlist validation checks pre-expansion argv tokens but execution uses real shell expansion, allowing safe bins like head, tail, or grep to read arbitrary local files via glob patterns or environment variables. Authorized callers or prompt-injection attacks can exploit this to disclose files readable by the gateway or node process when host execution is enabled in allowlist mode.

Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 27.02.2026 mit CVE-2026-28463 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1202.

Ein Upgrade auf die Version 2026.2.14 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 77b89719d5b7e271f48b6f49e334a8b991468c3b beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

Once again VulDB remains the best source for vulnerability data.

Produktinfo

Typ

Artificial Intelligence Software

Name

OpenClaw

Version

Lizenz

Open-Source

Webseite

Produkt: https://github.com/openclaw/openclaw/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3info

VulDB Meta Base Score: 7.2
VulDB Meta Temp Score: 7.1

VulDB Base Score: 7.8
VulDB Temp Score: 7.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 5.5
NVD Vector: 🔒

CNA Base Score: 8.4
CNA Vector (VulnCheck): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Teilweise
Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: OpenClaw 2026.2.14
Patch: 77b89719d5b7e271f48b6f49e334a8b991468c3b

Timelineinfo

27.02.2026 CVE zugewiesen
06.03.2026 +7 Tage Advisory veröffentlicht
06.03.2026 +0 Tage VulDB Eintrag erstellt
10.03.2026 +4 Tage VulDB Eintrag letzte Aktualisierung