Zpětná vazba k reportu

Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k niektorým informáciám v kalendári [1].

Zraniteľnosť sa nachádza v produktoch:

• Nextcloud vo verziách (>=27.0.0 AND <27.1.10) OR (>=28.0.0 AND <28.0.6) OR (>=29.0.0 AND <29.0.1)
• Nextcloud Enterprise vo verziách (>=27.0.0 AND <27.1.10) OR (>=28.0.0 AND <28.0.6) OR (>=29.0.0 AND <29.0.1)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N

Viac informácií:

• CVE-2024-37887 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-284: Improper Access Control at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 6. 2024.

Autentizovanému vzdialenému útočníkovi s právami na čítanie a zdielanie je umožnené prezdielať súbory, ktoré mu boli nazdielané, aj bez patričných oprávnení [2].

Zraniteľnosť sa nachádza v produktoch:

• Nextcloud vo verziách (>=26.0.0 AND <26.0.13) OR (>=27.0.0 AND <27.1.8) OR (>=28.0.0 AND <28.0.4)
• Nextcloud Enterprise vo verziách (>=23.0.0 AND <23.0.12.17) OR (>=24.0.0 AND <24.0.12.13) OR (>=25.0.0 AND <25.0.13.8) OR (>=26.0.0 AND <26.0.13) OR (>=27.0.0 AND <27.1.8) OR (>=28.0.0 AND <28.0.4)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

Viac informácií:

• CVE-2024-37882 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-284: Improper Access Control at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 6. 2024.

Autentizovanému vzdialenému útočníkovi s právami na čítanie je umožnené neoprávnene zasielať požiadavky na odstraňovanie starých verzií súborov [3].

Zraniteľnosť sa nachádza v produktoch:

• Nextcloud vo verziách (>=26.0.0 AND <26.0.13) OR (>=27.0.0 AND <27.1.8) OR (>=28.0.0 AND <28.0.4)
• Nextcloud Enterprise vo verziách (>=25.0.0 AND <25.0.13.7) OR (>=26.0.0 AND <26.0.13) OR (>=27.0.0 AND <27.1.8) OR (>=28.0.0 AND <28.0.4)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L

Viac informácií:

• CVE-2024-37884 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-284: Improper Access Control at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 6. 2024.

Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene meniť obsah súborov na ich predošlé verzie. Zraniteľnosť je zneužiteľná iba v prípade, ak je povolená možnosť "files_versions" [4].

Zraniteľnosť sa nachádza v produktoch:

• Nextcloud vo verziách (>=26.0.0 AND <26.0.12) OR (>=27.0.0 AND <27.1.7) OR (>=28.0.0 AND <28.0.3)
• Nextcloud Enterprise vo verziách (>=23.0.0 AND <23.0.12.16) OR (>=24.0.0 AND <24.0.12.12) OR (>=25.0.0 AND <25.0.13.6) OR (>=26.0.0 AND <26.0.12) OR (>=27.0.0 AND <27.1.7) OR (>=28.0.0 AND <28.0.3)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Viac informácií:

• CVE-2024-37315 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-284: Improper Access Control at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 6. 2024.

Neautentizovanému vzdialenému útočníkovi je umožnené obísť dvojfaktorovú autentizáciu, pokiaľ pozná prihlasovacie údaje obete [5].

Zraniteľnosť sa nachádza v produktoch:

• Nextcloud vo verziách (>=26.0.0 AND <26.0.13) OR (>=27.0.0 AND <27.1.8) OR (>=28.0.0 AND <28.0.4)
• Nextcloud Enterprise vo verziách (>=21.0.0 AND <21.0.9.17) OR (>=22.0.0 AND <22.2.10.22) OR (>=23.0.0 AND <23.0.12.17) OR (>=24.0.0 AND <24.0.12.13) OR (>=25.0.0 AND <25.0.13.8) OR (>=26.0.0 AND <26.0.13) OR (>=27.0.0 AND <27.1.8) OR (>=28.0.0 AND <28.0.4)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Viac informácií:

• CVE-2024-37313 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-287: Improper Authentication at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 6. 2024.