Omisión de la lista blanca de Nextcloud Talk
Nextcloud Talk en las versiones anteriores a 2026.2.2. Concretamente está afectado el paquete ‘@openclaw/nextcloud-talk’.
El núcleo ‘openclawno’ únicamente se ve afectado si se ha instalado y usado ‘@openclaw/nextcloud-talk’.
MegaManSec ha reportado 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante cambiar su nombre para que coincida con un ID de usuario de la lista de permitidos y poder así eludir las listas de permitidos de mensajes directos o salas.
Se recomienda actualizar a las versiones posteriores a 2026.2.6.
Las versiones afectadas del complemento opcional Nextcloud Talk, en el campo de webhook ‘actor.id’ se considera un identificador de lista de permitidos y ‘actor.name’ es un campo de nombre. En las versiones afectadas, la lista de permitidos del complemento acepta la igualdad en el nombre para mostrar. Un atacante podría cambiar su nombre para que coincida con un ID de usuario de la lista de permitidos y así poder eludir las listas de permitidos de mensajes directos o salas.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.