O que é uma vulnerabilidade de desvio da lista de permissão?

Uma vulnerabilidade de desvio da lista de permissão ocorre quando um mecanismo de segurança projetado para restringir o acesso a um conjunto definido de entidades pode ser contornado. Neste caso, a vulnerabilidade permite que usuários não autorizados obtenham acesso a recursos aos quais não deveriam ter acesso.

Como o CVE-2026-28474 afeta o Nextcloud Talk?

CVE-2026-28474 permite que um invasor ignore as restrições da lista de permissão no Nextcloud Talk, alterando seu nome de exibição para corresponder ao ID de um usuário autorizado. Isso concede a eles acesso não autorizado a conversas restritas e mensagens diretas.

Qual é a correção para CVE-2026-28474?

A correção para CVE-2026-28474 é atualizar o plugin OpenClaw Nextcloud Talk para a versão 2026.2.6 ou posterior. Esta versão inclui um patch que valida corretamente as identidades dos usuários em relação à lista de permissão, impedindo o ataque de falsificação do nome de exibição.

Como posso atualizar o OpenClaw Nextcloud Talk?

Você pode atualizar o OpenClaw Nextcloud Talk usando o Composer, uma ferramenta de gerenciamento de dependências para PHP. O comando `composer update openclaw` atualizará o plugin para a versão mais recente, incluindo a correção para CVE-2026-28474.

NextGuard

Voltar ao blog

CVSS 9.8CVE-2026-28474

Desvio da Lista de Permissão do OpenClaw Nextcloud Talk (CVE-2026-28474)

CVE-2026-28474: OpenClaw Nextcloud Talk < 2026.2.6 desvio da lista de permissão via falsificação do nome de exibição. Corrija para 2026.2.6 imediatamente para evitar acesso não autorizado.

Publicado em 2 de abril de 2026

Uma vulnerabilidade crítica, CVE-2026-28474, afeta o plugin Nextcloud Talk do OpenClaw. Essa falha permite que invasores ignorem as restrições da lista de permissão, falsificando os nomes de exibição. Os usuários das versões afetadas estão em risco e um patch imediato para a versão 2026.2.6 está disponível.

Esta é uma vulnerabilidade crítica com uma pontuação CVSS de 9,8, indicando risco extremo.

O que é Openclaw?

Openclaw é um componente para php, frequentemente usado como um plugin dentro de aplicações maiores como o Nextcloud. Ele fornece funcionalidade adicional, neste caso, relacionada ao Nextcloud Talk. Devido ao seu papel no controle de acesso, as vulnerabilidades no Openclaw podem ter implicações de segurança significativas. Para saber mais, você pode pesquisar todos os CVEs do openclaw.

CVE-2026-28474: Desvio da Lista de Permissão do OpenClaw Nextcloud Talk

CVSS9.8

Versões afetadasEsta vulnerabilidade afeta as versões do plugin OpenClaw Nextcloud Talk anteriores a 2026.2.6. Especificamente, qualquer instalação que use listas de permissão para controle de acesso em mensagens diretas ou salas é vulnerável.

Vulnerabilidade crítica, exigindo atenção imediata.

A pontuação EPSS de 0,052 indica uma baixa probabilidade de exploração.

A vulnerabilidade decorre da validação inadequada das identidades dos usuários em relação às listas de permissão. Um invasor pode alterar seu nome de exibição para corresponder a um ID de usuário na lista de permissão, obtendo assim acesso não autorizado a mensagens diretas e salas restritas.

Como corrigir CVE-2026-28474 no Openclaw

Corrija imediatamente

1.Atualize o plugin OpenClaw Nextcloud Talk para a versão 2026.2.6 ou posterior.

Atualize o OpenClaw via Composer

composer update openclaw

Solução alternativa: Não há solução alternativa conhecida. Aplicar o patch é a única maneira de remediar esta vulnerabilidade.

NextGuard sinaliza automaticamente CVE-2026-28474 se Openclaw aparecer em algum de seus projetos monitorados — nenhuma pesquisa manual é necessária.

Fique à frente das vulnerabilidades do php

Detecte e responda proativamente às ameaças de segurança do php. Use NextGuard para monitorar suas dependências do php e receber alertas em tempo real.

Comparar Planos

Perguntas frequentes

Esta vulnerabilidade representa um risco significativo para as instalações do Nextcloud Talk que usam OpenClaw. Certifique-se de atualizar para a versão 2026.2.6 imediatamente para mitigar o risco de acesso não autorizado. Você pode ver todas as vulnerabilidades do php em nossa plataforma.

Tópicos relacionados

NextcloudOpenClawPHPDesvio da Lista de PermissãoCVE-2026-28474