Katalog CVE

CVE-2026-28474

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Nextcloud Talk OpenClaw w wersjach przed 2026.2.6 akceptuje porównania równości w polu nazwy wyświetlanej mutable actor.name dla walidacji listy dozwolonych, co pozwala atakującym na obejście list DM i pokoi.

Ocena ryzyka

Atakujący może zmienić swoją nazwę wyświetlaną w Nextcloud, aby dopasować ją do ID użytkownika z listy dozwolonych, uzyskując nieautoryzowany dostęp do zastrzeżonych rozmów.

Rekomendacja

Zaleca się aktualizację wtyczki Nextcloud Talk do wersji 2026.2.6 lub nowszej, aby zlikwidować tę podatność.

Oryginalny opis (angielski, źródło NVD)

OpenClaw's Nextcloud Talk plugin versions prior to 2026.2.6 accept equality matching on the mutable actor.name display name field for allowlist validation, allowing attackers to bypass DM and room allowlists. An attacker can change their Nextcloud display name to match an allowlisted user ID and gain unauthorized access to restricted conversations.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS