Lukasreschke

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 28.0.11 Versões do Nextcloud Server anteriores à 29.0.8 Versões do Nextcloud Server anteriores à 30.0.1 Versões do Nextcloud Enterprise Server anteriores à 25.0.13.13 Versões do Nextcloud Enterprise Server anteriores à 26.0.13.9 Versões do Nextcloud Enterprise Server anteriores à 27.1.11.9 Versões do Nextcloud Enterprise Server anteriores à 28.0.11 Versões do Nextcloud Enterprise Server anteriores à 29.0.8 Versões do Nextcloud Enterprise Server anteriores à 30.0.1 **Descrição** A vulnerabilidade permite que um usuário mal-intencionado baixe anexos referenciados em arquivos de texto sem fornecer uma senha após receber um link de compartilhamento do tipo “Files drop” ou “Password protected”. **Recomendações** Atualize o Nextcloud Server para a versão 28.0.11 Atualize o Nextcloud Server para a versão 29.0.8 Atualize o Nextcloud Server para a versão 30.0.1 Atualize o Nextcloud Enterprise Server para a versão 25.0.13.13 Atualize o Nextcloud Enterprise Server para a versão 26.0.13.9 Atualize o Nextcloud Enterprise Server para a versão 27.1.11.9 Atualize o Nextcloud Enterprise Server para a versão 28.0.11 Atualize o Nextcloud Enterprise Server para a versão 29.0.8 Atualize o Nextcloud Enterprise Server para a versão 30.0.1

**Nome do software vulnerável e versões afetadas** Versões do aplicativo user oidc anteriores à 3.0.0 Versões do aplicativo user oidc anteriores à 4.0.0 Versões do aplicativo user oidc anteriores à 5.0.0 **Descrição** O problema está relacionado à falta de controle de acesso no endpoint ID4me, permitindo que um invasor registre uma conta e, potencialmente, obtenha acesso aos dados disponíveis para todos os usuários registrados. **Recomendações** Para versões anteriores à 3.0.0, atualize para a versão 3.0.0 ou posterior. Para versões anteriores à 4.0.0, atualize para a versão 4.0.0 ou posterior. Para versões anteriores à 5.0.0, atualize para a versão 5.0.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Talk versions prior to 14.0.9 Nextcloud Talk versions prior to 15.0.4 **Description** The issue arises from the talk app not properly filtering access to a conversation's member list. This allows an attacker to gain information about the members of a Talk conversation, even if they are not members themselves. **Recommendations** For versions prior to 14.0.9, upgrade to 14.0.9. For versions prior to 15.0.4, upgrade to 15.0.4. As a temporary workaround, consider restricting access to the conversation member list until a patch is available.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 20.0.13 Versões do Nextcloud Server anteriores à 21.0.5 Versões do Nextcloud Server anteriores à 22.2.0 **Descrição** O Nextcloud é uma plataforma de produtividade de código aberto e auto-hospedada. A autenticação de dois fatores não era aplicada para páginas marcadas como `@PublicPage`. Isso poderia ser explorado para obter acesso a qualquer canal de bate-papo privado sem passar pelo fluxo de autenticação de dois fatores, afetando particularmente o aplicativo Nextcloud Talk. **Recomendações** Para versões anteriores à 20.0.13, atualize para a 20.0.13. Para versões anteriores à 21.0.5, atualize para a 21.0.5. Para versões anteriores à 22.2.0, atualize para a 22.2.0. Como solução temporária, considere restringir o acesso a páginas marcadas como `@PublicPage` até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Richdocuments anteriores à 3.8.4 Versões do Nextcloud Richdocuments anteriores à 4.2.1 **Descrição** O Nextcloud Richdocuments é um pacote de escritório colaborativo de código aberto. Nas versões afetadas, há uma falha na limitação de taxa no “ponto de extremidade OCS do Richdocuments”. Isso pode ter permitido que um invasor enumerasse tokens de compartilhamento potencialmente válidos. **Recomendações** Para versões anteriores à 3.8.4, atualize para a versão 3.8.4 para resolver o problema. Para versões anteriores à 4.2.1, atualize para a versão 4.2.1 para resolver o problema. Para usuários que não possam atualizar, desative o aplicativo Richdocuments como uma solução temporária.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Server versions prior to 11.0.3 **Description** The issue is related to a logical error that leads to the disclosure of valid share tokens for public calendars. This could potentially allow an attacker to access publicly shared calendars without knowing the share token. **Recommendations** For versions prior to 11.0.3, update to version 11.0.3 or later to resolve the issue. As a temporary workaround, consider restricting access to publicly shared calendars until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Nextcloud Server versions prior to 10.0.1 ownCloud Server versions prior to 9.0.6 and 9.1.2 **Description** The issue concerns a Stored XSS in the CardDAV image export functionality. This functionality allows the download of images stored within a vCard. Due to the lack of verification on the image content, it is prone to a stored Cross-Site Scripting attack. **Recommendations** For Nextcloud Server versions prior to 10.0.1, update to version 10.0.1 or later. For ownCloud Server versions prior to 9.0.6, update to version 9.0.6 or later. For ownCloud Server version 9.1, update to version 9.1.2 or later.