[TLP:CLEAR] Nextcloud opravuje 16 zraniteľností v rôznych produktoch

Nextcloud opravuje 16 zraniteľností v produktoch Nextcloud Mail, Nextcloud Tables, Nextcloud Desktop Client, Nextcloud User OIDC a Nextcloud (Enterprise) Server [1][7][8][5][6]. Jednotlivé produkty a ich opravené verzie: Nextcloud Mail - 1.14.6, 1.15.4, 2.2.11, 3.6.3, 3.7.7, 4.0.0 [1] Nextcloud Tables - 0.8.1 [7] Nextcloud Server - 28.0.12, 29.0.9, 30.0.2 [8] Nextcloud Enterprise Server - 25.0.13.14, 26.0.13.10, 27.1.11.10, 28.0.12, 29.0.9, 30.0.2 [8] Nextcloud Desktop Client - 3.14.2 [5] Nextcloud User OIDC - 6.1.0 [6]

Nextcloud Mail - information leak (CVE-2024-52508) CVSS 8.2 (High)

Neautentizovanému vzdialenému útočníkovi je v Nextcloud Mail umožnené pristupovať k citlivým údajom, vydávaním sa za autokonfiguračný server obete, čo môže viesť k ovládnutiu jeho e-mailového účtu [1]

Zraniteľnosť sa nachádza v produkte Nextcloud Mail vo verziách vo verziách (>=1.9.0 AND <1.14.6) OR (>=2.1.0 AND <2.2.11) OR (>=3.1.0 AND <3.6.3) OR (>=1.15.0 AND <1.15.4) OR (>=3.7.0 AND <3.7.7)

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:L

Viac informácií:

Zraniteľnosť bola verejne oznámená 15. 11. 2024.

Nextcloud Tables - unauthorized alteration (CVE-2024-52511) CVSS 6.3 (Medium)

Autentizovanému vzdialenému útočníkovi je v Nextcloud Tables umožnené pridávať riadky do tabuliek, do ktorých nemá oprávnenie pristupovať [2].

Zraniteľnosť sa nachádza v produkte Nextcloud Tables vo verziách vo verziách >=0.6.0 AND <0.8.0

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:H/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 15. 11. 2024.

Nextcloud Server - SVG preview leak (CVE-2024-52515) CVSS 5.7 (Medium)

Autentizovanému vzdialenému útočníkovi je v Nextcloud (Enterprise) Server umožnené nahratím špeciálne vytvoreného SVG súboru zobrazovať náhľad SVG súborov, ku ktorým nemá patričné oprávnenia [3].

Zraniteľnosť sa nachádza v produkte Nextcloud Server vo verziách vo verziách (>=29.0.0 AND <29.0.1) OR (>=28.0.0 AND <28.0.6) OR (>=27.0.0 AND <27.1.10)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 15. 11. 2024.

Nextcloud (Enterprise) Server - DoS (CVE-2024-52520) CVSS 5.7 (Medium)

Autentizovanému vzdialenému útočníkovi je v Nextcloud (Enterprise) Server umožnené vykonať DoS útok vytvorením náhľadu na špeciálne vytvorenú web stránku [4].

Zraniteľnosť sa nachádza v produktoch:

  • Nextloud Server vo verziách (>=28.0.0 AND <28.0.10) OR (>=29.0.0 AND <29.0.7)
  • Nextloud Enterprise Server vo verziách (>=27.0.0 AND <27.1.11.8) OR (>=28.0.0 AND <28.0.10) OR (>=29.0.0 AND <29.0.7)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 15. 11. 2024.

Nextcloud Desktop Client - improper signature validation (CVE-2024-52510) CVSS 4.2 (Medium)

Autentizovanému vzdialenému útočníkovi je v Nextcloud Desktop Client umožnené obísť validáciu podpisu zaslaním špeciálne vytvorenej požiadavky z Nextcloud Server [5].

Zraniteľnosť sa nachádza v produkte Nextcloud Desktop Client vo verziách vo verziách >=3.0.0 AND <3.14.2

CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 15. 11. 2024.

Nextcloud User OIDC - unsafe URL redirect (CVE-2024-52512) CVSS 6.1 (Medium)

Neautentizovanému vzdialenému útočníkovi je v Nextcloud User OIDC pomocou sociálneho inžinierstva umožnené donútiť obeť zobraziť URL, ktorá ho po prihlásení v Nextcloud OIDC presmeruje na útočníkom ovládanú web stránku [6].

Zraniteľnosť sa nachádza v produkte Nextcloud User OIDC vo verziách vo verziách >=6.0.0 AND <6.1.0

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 15. 11. 2024.

Publikoval Martin Krajči dňa 22. 11. 2024.

CESNET CERTS Logo