Omisión de la lista blanca de Nextcloud Talk
Nextcloud Talk en las versiones anteriores a 2026.2.2. Concretamente está afectado el paquete '@openclaw/nextcloud-talk'.
El núcleo 'openclawno' únicamente se ve afectado si se ha instalado y usado '@openclaw/nextcloud-talk'.
MegaManSec ha reportado 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante cambiar su nombre para que coincida con un ID de usuario de la lista de permitidos y poder así eludir las listas de permitidos de mensajes directos o salas.
Se recomienda actualizar a las versiones posteriores a 2026.2.6.
Las versiones afectadas del complemento opcional Nextcloud Talk, en el campo de webhook 'actor.id' se considera un identificador de lista de permitidos y 'actor.name' es un campo de nombre. En las versiones afectadas, la lista de permitidos del complemento acepta la igualdad en el nombre para mostrar. Un atacante podría cambiar su nombre para que coincida con un ID de usuario de la lista de permitidos y así poder eludir las listas de permitidos de mensajes directos o salas.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
