CVE-2026-28474
KrytyczneStreszczenie
Wtyczka Nextcloud Talk OpenClaw w wersjach przed 2026.2.6 akceptuje porównania równości w polu nazwy wyświetlanej mutable actor.name dla walidacji listy dozwolonych, co pozwala atakującym na obejście list DM i pokoi.
Ocena ryzyka
Atakujący może zmienić swoją nazwę wyświetlaną w Nextcloud, aby dopasować ją do ID użytkownika z listy dozwolonych, uzyskując nieautoryzowany dostęp do zastrzeżonych rozmów.
Rekomendacja
Zaleca się aktualizację wtyczki Nextcloud Talk do wersji 2026.2.6 lub nowszej, aby zlikwidować tę podatność.
Oryginalny opis (angielski, źródło NVD)
OpenClaw's Nextcloud Talk plugin versions prior to 2026.2.6 accept equality matching on the mutable actor.name display name field for allowlist validation, allowing attackers to bypass DM and room allowlists. An attacker can change their Nextcloud display name to match an allowlisted user ID and gain unauthorized access to restricted conversations.

