CVE-2026-28446

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw anteriores a 2026.2.2

Descrição Um bypass de autenticação existe na extensão opcional voice-call quando a validação da política de lista de permissões de entrada é utilizada. O sistema aceita IDs de chamadas vazios e utiliza correspondência baseada em sufixo em vez de igualdade estrita. Isso permite que atacantes remotos contornem os controles de acesso de entrada ao realizarem chamadas com IDs de chamadas ausentes ou números que terminem com dígitos na lista de permissões, potencialmente alcançando o agente voice-call e executando ferramentas. O problema afeta implantações que possuem a extensão voice-call instalada e ativada. A vulnerabilidade está relacionada à verificação de lista de permissões de entrada no arquivo extensions/voice-call/src/manager.ts, que utilizava correspondência baseada em sufixo e aceitava IDs de chamadas vazios após a normalização. Especificamente, valores from ausentes ou vazios eram normalizados para uma string vazia, fazendo com que o predicado da lista de permissões avaliasse como permitido. Além disso, a correspondência baseada em sufixo significava que qualquer número de chamada cujos dígitos terminassem com um número na lista de permissões seria aceito. O componente vulnerável é a extensão voice-call.

Recomendações Versões do OpenClaw anteriores a 2026.2.2 devem ser atualizadas para a versão 2026.2.2 ou posterior.