¿Qué es una vulnerabilidad de omisión de la lista de permitidos?

Una vulnerabilidad de omisión de la lista de permitidos se produce cuando un mecanismo de seguridad diseñado para restringir el acceso a un conjunto definido de entidades puede ser eludido. En este caso, la vulnerabilidad permite a los usuarios no autorizados obtener acceso a los recursos a los que no deberían poder acceder.

¿Cómo afecta CVE-2026-28474 a Nextcloud Talk?

CVE-2026-28474 permite a un atacante omitir las restricciones de la lista de permitidos en Nextcloud Talk cambiando su nombre para mostrar para que coincida con el ID de un usuario autorizado. Esto les otorga acceso no autorizado a conversaciones restringidas y mensajes directos.

¿Cuál es la solución para CVE-2026-28474?

La solución para CVE-2026-28474 es actualizar el plugin OpenClaw Nextcloud Talk a la versión 2026.2.6 o posterior. Esta versión incluye un parche que valida correctamente las identidades de los usuarios con respecto a la lista de permitidos, evitando el ataque de suplantación del nombre para mostrar.

¿Cómo puedo actualizar OpenClaw Nextcloud Talk?

Puede actualizar OpenClaw Nextcloud Talk utilizando Composer, una herramienta de gestión de dependencias para PHP. El comando `composer update openclaw` actualizará el plugin a la última versión, incluyendo la solución para CVE-2026-28474.

NextGuard

Volver al blog

CVSS 9.8CVE-2026-28474

Omisión de la lista de permitidos de OpenClaw Nextcloud Talk (CVE-2026-28474)

CVE-2026-28474: OpenClaw Nextcloud Talk < 2026.2.6 omisión de la lista de permitidos mediante la suplantación del nombre para mostrar. Aplique el parche a la versión 2026.2.6 inmediatamente para evitar el acceso no autorizado.

Publicado el 2 de abril de 2026

Una vulnerabilidad crítica, CVE-2026-28474, afecta al plugin Nextcloud Talk de OpenClaw. Este fallo permite a los atacantes omitir las restricciones de la lista de permitidos suplantando los nombres para mostrar. Los usuarios de las versiones afectadas están en riesgo, y un parche inmediato a la versión 2026.2.6 está disponible.

Esta es una vulnerabilidad crítica con una puntuación CVSS de 9.8, lo que indica un riesgo extremo.

¿Qué es Openclaw?

Openclaw es un componente para php, a menudo utilizado como un plugin dentro de aplicaciones más grandes como Nextcloud. Proporciona funcionalidad adicional, en este caso, relacionada con Nextcloud Talk. Debido a su papel en el control de acceso, las vulnerabilidades en Openclaw pueden tener importantes implicaciones de seguridad. Para obtener más información, puede buscar todos los CVE de openclaw.

CVE-2026-28474: Omisión de la lista de permitidos de OpenClaw Nextcloud Talk

CVSS9.8

Versiones afectadasEsta vulnerabilidad afecta a las versiones del plugin OpenClaw Nextcloud Talk anteriores a 2026.2.6. Específicamente, cualquier instalación que utilice listas de permitidos para el control de acceso en mensajes directos o salas es vulnerable.

Vulnerabilidad crítica, que requiere atención inmediata.

La puntuación EPSS de 0.052 indica una baja probabilidad de explotación.

La vulnerabilidad se debe a la validación incorrecta de las identidades de los usuarios con respecto a las listas de permitidos. Un atacante puede cambiar su nombre para mostrar para que coincida con un ID de usuario en la lista de permitidos, obteniendo así acceso no autorizado a mensajes directos y salas restringidas.

Cómo solucionar CVE-2026-28474 en Openclaw

Parchear ahora

1.Actualice el plugin OpenClaw Nextcloud Talk a la versión 2026.2.6 o posterior.

Actualizar OpenClaw a través de Composer

composer update openclaw

Solución temporal: No se conoce ninguna solución alternativa. Aplicar el parche es la única forma de solucionar esta vulnerabilidad.

NextGuard marca automáticamente CVE-2026-28474 si Openclaw aparece en cualquiera de sus proyectos supervisados; no se requiere ninguna búsqueda manual.

Manténgase a la vanguardia de las vulnerabilidades de php

Detecte y responda de forma proactiva a las amenazas de seguridad de php. Utilice NextGuard para supervisar sus dependencias de php y recibir alertas en tiempo real.

Comparar planes

Preguntas frecuentes

Esta vulnerabilidad representa un riesgo significativo para las instalaciones de Nextcloud Talk que utilizan OpenClaw. Asegúrese de actualizar a la versión 2026.2.6 inmediatamente para mitigar el riesgo de acceso no autorizado. Puede ver todas las vulnerabilidades de php en nuestra plataforma.

Temas relacionados

NextcloudOpenClawPHPAllowlist BypassCVE-2026-28474