Vulnerabilidad CVE de Nextcloud. Lista CVE de errores Nextcloud.
Nextcloud mail es una aplicación de correo electrónico para la plataforma de servidor doméstico nextcloud.
Nextcloud office/richdocuments es un traje de oficina para la plataforma de servidor nextcloud.
28 de febrero del 2023
- CVE-2023-26041: Cuando los trabajos cron estaban mal configurados y, por lo tanto, los mensajes no caducaban, la API aún los devolvería mientras estaban ocultos por el código de la interfaz. Se recomienda que Nextcloud Talk se actualice a 15.0.3. No hay ninguna solución disponible.
25 de febrero del 2023
- CVE-2023-25821: Las versiones 24.0.4 y posteriores, anteriores a la 24.0.7, y 25.0.0 y posteriores, anteriores a la 25.0.1, contienen un control de acceso inadecuado. La vista segura para recursos compartidos internos se puede eludir si también se otorgan permisos para compartir. Este problema está parcheado en las versiones 24.0.7 y 25.0.1. No hay solución disponible.
22 de febrero del 2023
- CVE-2023-25579: El servidor Nextcloud es un producto de nube para el hogar alojado en sí mismo. En las versiones afectadas, la función `OC\Files\Node\Folder::getFullPath()` estaba validando y normalizando la cadena en el orden incorrecto. La función se utiliza en los elementos `newFile()` y `newFolder()`, que pueden permitir la creación de rutas fuera del propio espacio y sobrescribir datos de otros usuarios con rutas diseñadas. Este problema se solucionó en las versiones 25.0.2, 24.0.8 y 23.0.12. Se recomienda a los usuarios que actualicen. No hay soluciones alternativas conocidas para este problema.
13 de febrero del 2023
- CVE-2023-25162 CVE-2023-25161 CVE-2023-25160: Nextcloud Mail es una aplicación de correo electrónico para la plataforma de servidor doméstico Nextcloud. Antes de las versiones 2.2.1, 1.14.5, 1.12.9 y 1.11.8, un atacante puede acceder al buzón de correo por ID y obtener los asuntos y los primeros caracteres de los correos electrónicos. Los usuarios deben actualizar a Mail 2.2.1 para Nextcloud 25, Mail 1.14.5 para Nextcloud 22-24, Mail 1.12.9 para Nextcloud 21 o Mail 1.11.8 para Nextcloud 20 para recibir un parche. No hay soluciones alternativas conocidas disponibles.
9 de febrero del 2023
- CVE-2023-25150: En las versiones afectadas, la integración de Collabora se puede engañar para proporcionar acceso a cualquier archivo sin la validación de permisos adecuada. Como resultado, cualquier usuario con acceso a Collabora puede obtener el contenido de los archivos de otros usuarios. Se recomienda actualizar la aplicación Nextcloud Office (Collabora Integration) a 7.0.2 (Nextcloud 25), 6.3.2 (Nextcloud 24), 5.0.10 (Nextcloud 23), 4.2.9 (Nextcloud 21-22), o 3.8.7 (Nextcloud 15-20). No hay soluciones alternativas conocidas para este problema.
6 de febrero del 2023
- CVE-2023-23942: Nextcloud Desktop Client es una herramienta para sincronizar archivos desde un servidor Nextcloud con su computadora. A las versiones anteriores a la 3.6.3 les falta el saneamiento en las etiquetas qml que se utilizan para los elementos HTML básicos, como las líneas `strong`, `em` y `head` en la interfaz de usuario del cliente de escritorio. La falta de saneamiento puede permitir la inyección de JavaScript. Se recomienda que el cliente de escritorio de Nextcloud se actualice a 3.6.3. No hay soluciones alternativas conocidas para este problema.
- CVE-2023-23943: En las versiones afectadas, los campos de host SMTP, IMAP y Sieve permitían buscar servicios internos y servidores accesibles desde la red local del servidor Nextcloud. Se recomienda que la aplicación Nextcloud Maill se actualice a 1.15.0 o 2.2.2. La única solución conocida para este problema es deshabilitar completamente la aplicación de correo nextcloud.
Paginas de referencia
- CVE-2023-26041:
https://hackerone.com/reports/1784310 - CVE-2023-25821:
https://hackerone.com/reports/1724016 - CVE-2023-25579:
https://github.com/nextcloud/server/pull/35074 - CVE-2023-25162 CVE-2023-25161 CVE-2023-25160:
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-m45f-r5gh-h6cx - CVE-2023-25150:
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-64xc-r58v-53gj - CVE-2023-23942:
https://github.com/nextcloud/desktop/pull/5233 - CVE-2023-23943:
https://hackerone.com/reports/1736390yhttps://github.com/nextcloud/mail/pull/7796yhttps://github.com/nextcloud/security-advisories/security/advisories/GHSA-8gcx-r739-9pf6
Otras referencias sobre vulnerabilidades CVE
- Caddy
- Bticino Door Entry Hometouch
- Coverity
- Pdfio
- Syft
- Firmware nbg-418n
- Serie zywallusg
- Firmware nwa110ax
- Geforce Experience
- Eve Ship Replacement Program
- Online food ordering system
- Totolink a7100ru
- Softr
- Western digital my cloud
- Wzone lite version
- Ezeip
- Afterpay Gateway for Woocommerce
- Canteen Management System
- create-choo-app3
- semver-tags
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-03-04. Fecha publicación el 2023-02-09. Autor: Oscar olg Mapa del sitio Fuente: cve report