Bncrypted

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 20.0.13 Versões do Nextcloud Server anteriores à 21.0.5 Versões do Nextcloud Server anteriores à 22.2.0 **Descrição** O Nextcloud é uma plataforma de produtividade de código aberto e auto-hospedada. Antes das versões 20.0.13, 21.0.5 e 22.2.0, o Nextcloud Server não implementava um backend de banco de dados para fins de limitação de taxa. Qualquer componente do Nextcloud que utilizasse limites de taxa (como `AnonRateThrottle` ou `UserRateThrottle`) não era, portanto, limitado em instâncias que não tivessem um backend de cache de memória configurado. No caso de uma instalação padrão, isso incluiria notavelmente os limites de taxa nos códigos de autenticação de dois fatores. **Recomendações** Atualize o Nextcloud Server para a versão 20.0.13 Atualize o Nextcloud Server para a versão 21.0.5 Atualize o Nextcloud Server para a versão 22.2.0 Como solução alternativa, habilite um backend de cache de memória no `config.php`

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud anteriores à 20.0.13 Versões do Nextcloud anteriores à 21.0.5 Versões do Nextcloud anteriores à 22.2.0 **Descrição** Uma vulnerabilidade de traversal de arquivos no Nextcloud permite que um invasor baixe imagens SVG arbitrárias do sistema host, incluindo arquivos fornecidos pelo usuário. Isso poderia ser explorado em um ataque XSS/phishing através do upload de um arquivo SVG malicioso que imita o formulário de login do Nextcloud e do envio de um link especialmente criado para as vítimas. No entanto, o risco de XSS é mitigado devido à rigorosa Política de Segurança de Conteúdo (Content-Security-Policy) do Nextcloud, que impede a execução de JavaScript arbitrário. **Recomendações** Atualize para a versão 20.0.13 ou posterior Atualize para a versão 21.0.5 ou posterior Atualize para a versão 22.2.0 ou posterior Não há soluções alternativas conhecidas além da atualização.