Ctulhu

**Name of the Vulnerable Software and Affected Versions** Nextcloud Talk versions prior to 15.0.3 **Description** Nextcloud Talk is a fully on-premises audio/video and chat communication service. When cron jobs were misconfigured, messages were not expired, and the API would still return them while they were hidden by the frontend code. **Recommendations** For versions prior to 15.0.3, upgrade to version 15.0.3 to resolve the issue. As a temporary workaround, consider configuring cron jobs properly to expire messages, until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Mail versions prior to 2.2.1 Nextcloud Mail versions prior to 1.14.5 Nextcloud Mail versions prior to 1.12.9 Nextcloud Mail versions prior to 1.11.8 **Description** Nextcloud Mail is an email app for the Nextcloud home server platform. An attacker can access the mail box by ID, getting the subjects and the first characters of the emails. **Recommendations** For Nextcloud 25, upgrade to Mail 2.2.1 to receive a patch. For Nextcloud 22-24, upgrade to Mail 1.14.5 to receive a patch. For Nextcloud 21, upgrade to Mail 1.12.9 to receive a patch. For Nextcloud 20, upgrade to Mail 1.11.8 to receive a patch.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Talk Android app versions prior to 15.0.2 **Description** The issue allows an attacker to bypass the passcode, gaining access to the user's Nextcloud files and conversations. This can be exploited with physical access to the target device. **Recommendations** For versions prior to 15.0.2, upgrade the Nextcloud Talk Android app to 15.0.2 to resolve the issue.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Deck anteriores à 1.2.11 Versões do Nextcloud Deck anteriores à 1.4.6 Versões do Nextcloud Deck anteriores à 1.5.4 **Descrição** O Nextcloud Deck é uma ferramenta de gerenciamento de projetos e pessoal no estilo Kanban para o Nextcloud, semelhante ao Trello. O caminho completo do aplicativo fica exposto a usuários não autorizados. **Recomendações** Para versões anteriores à 1.2.11, atualize para a versão 1.2.11. Para versões anteriores à 1.4.6, atualize para a versão 1.4.6. Para versões anteriores à 1.5.4, atualize para a versão 1.5.4.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Talk anteriores à 11.3.4 Versões do Nextcloud Talk anteriores à 12.2.2 Versões do Nextcloud Talk anteriores à 13.0.0 **Descrição** A vulnerabilidade afeta o Nextcloud Talk, um aplicativo de videoconferência e audioconferência para o Nextcloud, uma plataforma de produtividade auto-hospedada. Ao compartilhar um cartão Deck em uma conversa, os metadados podem ser manipulados, permitindo que os usuários sejam induzidos a abrir URLs arbitrárias. **Recomendações** Para versões anteriores à 11.3.4, atualize para a versão 11.3.4 ou posterior. Para versões anteriores à 12.2.2, atualize para a versão 12.2.2 ou posterior. Para versões anteriores à 13.0.0, atualize para a versão 13.0.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Talk anteriores à 12.1.2 **Descrição** O Nextcloud Talk é um serviço de mensagens auto-hospedado. Nas versões afetadas, um invasor é capaz de controlar o link de uma pré-visualização de geolocalização no aplicativo Nextcloud Talk devido à falta de validação do link. Isso poderia resultar em um redirecionamento aberto, mas exigia interação do usuário. Isso afetou apenas usuários do cliente Talk para Android. **Recomendações** Para versões anteriores à 12.1.2, recomenda-se que o aplicativo Nextcloud Talk seja atualizado para a versão 12.1.2. Como solução temporária, considere restringir o uso de visualizações de geolocalização no aplicativo Nextcloud Talk até que um patch esteja disponível. Evite usar o recurso de visualização de geolocalização no cliente Android Talk afetado até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Android app versions prior to 3.7.0 **Description** The issue concerns improper sanitization of HTML in directory names. This allows styling of the directory name in the header bar when using basic HTML. **Recommendations** For versions prior to 3.7.0, update to version 3.7.0 or later to resolve the issue.