什么是允许列表绕过漏洞？

当旨在限制对一组已定义实体的访问的安全机制可以被规避时，就会发生允许列表绕过漏洞。在这种情况下，该漏洞允许未经授权的用户获得对其不应能够访问的资源的访问权限。

CVE-2026-28474 如何影响 Nextcloud Talk？

CVE-2026-28474 允许攻击者通过更改其显示名称以匹配授权用户的 ID 来绕过 Nextcloud Talk 中的允许列表限制。这使他们能够未经授权地访问受限对话和直接消息。

CVE-2026-28474 的修复方法是什么？

CVE-2026-28474 的修复方法是将 OpenClaw Nextcloud Talk 插件更新到 2026.2.6 或更高版本。此版本包含一个补丁，可以正确验证用户身份与允许列表，从而防止显示名称欺骗攻击。

如何更新 OpenClaw Nextcloud Talk？

您可以使用 Composer（PHP 的依赖管理工具）更新 OpenClaw Nextcloud Talk。命令 `composer update openclaw` 会将插件更新到最新版本，包括 CVE-2026-28474 的修复。

NextGuard

返回博客

CVSS 9.8CVE-2026-28474

OpenClaw Nextcloud Talk 允许列表绕过 (CVE-2026-28474)

CVE-2026-28474: OpenClaw Nextcloud Talk < 2026.2.6 通过显示名称欺骗绕过允许列表。立即修补到 2026.2.6 以防止未经授权的访问。

发布于 2026年4月2日

一个关键漏洞 CVE-2026-28474 影响 OpenClaw 的 Nextcloud Talk 插件。此漏洞允许攻击者通过欺骗显示名称来绕过允许列表限制。受影响版本的用户面临风险，并且可以立即修补到 2026.2.6 版本。

这是一个严重漏洞，CVSS 评分为 9.8，表明存在极高的风险。

什么是 Openclaw？

Openclaw 是一个 php 组件，通常用作 Nextcloud 等大型应用程序中的插件。它提供额外的功能，在本例中，与 Nextcloud Talk 相关。由于它在访问控制中发挥作用，因此 Openclaw 中的漏洞可能会产生重大的安全影响。要了解更多信息，您可以搜索所有 openclaw CVE。

CVE-2026-28474: OpenClaw Nextcloud Talk 允许列表绕过

CVSS9.8

受影响版本此漏洞影响 2026.2.6 之前的 OpenClaw Nextcloud Talk 插件版本。具体来说，任何在直接消息或房间中使用允许列表进行访问控制的安装都容易受到攻击。

严重漏洞，需要立即关注。

EPSS 评分为 0.052，表明利用的可能性较低。

该漏洞源于对用户身份验证与允许列表的不当验证。攻击者可以更改其显示名称以匹配允许列表上的用户 ID，从而获得对直接消息和受限房间的未授权访问。

如何在 Openclaw 中修复 CVE-2026-28474

立即修补

1.将 OpenClaw Nextcloud Talk 插件更新到 2026.2.6 或更高版本。

通过 Composer 更新 OpenClaw

composer update openclaw

临时解决方案：没有已知的解决方法。应用补丁是修复此漏洞的唯一方法。

如果 Openclaw 出现在您监控的任何项目中，NextGuard 会自动标记 CVE-2026-28474，无需手动查找。

保持领先于 php 漏洞

主动检测并响应 php 安全威胁。使用 NextGuard 来监控您的 php 依赖项并接收实时警报。

比较计划

常见问题

此漏洞对使用 OpenClaw 的 Nextcloud Talk 安装构成重大风险。请确保立即更新到 2026.2.6 版本，以降低未经授权访问的风险。您可以在我们的平台上查看所有 php 漏洞。