CVE-2026-28448

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw de 2026.1.29 a 2026.2.0

Descrição O software OpenClaw, com o plugin do Twitch instalado e ativado, apresenta um problema em que o controle de acesso é ignorado. Especificamente, a lista de permissão allowFrom não é aplicada corretamente quando allowedRoles não está configurado ou está vazio. Isso permite que usuários não autorizados do Twitch acionem o despacho do agente mencionando o bot no chat do Twitch. A lógica problemática está localizada na função checkTwitchAccessControl() do plugin do Twitch (extensions/twitch/src/access-control.ts). Quando allowFrom está configurado, o código não retorna allowed: false para não membros, fazendo com que a execução continue. Se allowedRoles não estiver configurado ou estiver vazio, a função define como padrão allowed: true, mesmo quando allowFrom está configurado. Isso pode levar a ações e respostas não intencionais, além de possível esgotamento de recursos para os operadores que dependiam de allowFrom para restringir a invocação do bot no chat do Twitch.

Recomendações As versões do OpenClaw de 2026.1.29 a 2026.2.0 devem ser atualizadas para a versão 2026.2.1 ou posterior.