CVE-2026-28471

Nome do Software Vulnerável e Versões Afetadas Versões do OpenClaw 2026.1.14-1 até 2026.2.1

Descrição O software contém uma falha na qual a correspondência da lista de permissões de mensagens diretas (MD) pode ser contornada ao corresponder exatamente nomes de exibição do remetente e partes locais sem verificação do homeserver. Isso permite que usuários remotos do Matrix se passem por identidades permitidas utilizando nomes de exibição controlados pelo atacante ou correspondendo partes locais de diferentes homeservers, potencialmente alcançando o pipeline de roteamento e agente. O problema surge porque as decisões da lista de permissões de MD são feitas mediante correspondência exata de entradas contra candidatos derivados do remetente, incluindo o nome de exibição do remetente e a parte local do MXID do remetente sem o componente do homeserver. Se um operador configurar as listas de permissões do Matrix com nomes de exibição ou partes locais isoladas, um usuário remoto do Matrix poderá ser capaz de se passar por uma identidade permitida.

Recomendações Atualize para a versão 2026.2.2 ou posterior do OpenClaw. Certifique-se de que as listas de permissões do Matrix contenham apenas IDs de usuário Matrix (MXIDs) completos, como @user:server. Não use nomes de exibição ou partes locais isoladas.