CVE-2026-26328

Nome do Software Vulnerável e Versões Afetadas OpenClaw versões anteriores a 2026.2.14 clawdbot versões anteriores a 2026.1.24-3

Descrição Quando o iMessage está configurado com groupPolicy=allowlist, a autorização de grupo poderia ser satisfeita por identidades dos remetentes do repositório de pareamento DM, estendendo a confiança do DM para contextos de grupo. A lógica vulnerável em src/imessage/monitor/monitor-provider.ts derivou effectiveGroupAllowFrom usando tanto a lista de permissões estática do grupo quanto as identidades do repositório de pareamento DM (storeAllowFrom). Isso permitiu que um remetente aprovado por meio do pareamento DM satisfizesse a autorização de grupo em grupos, mesmo que não estivesse explicitamente listado em groupAllowFrom, enfraquecendo a separação entre o pareamento DM e a autorização da lista de permissões do grupo.

Recomendações Atualize o OpenClaw para a versão 2026.2.14 ou posterior. Atualize o clawdbot para a versão 2026.1.24-3 ou posterior.