Lukasreschkenc

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 20.0.12 Versões do Nextcloud Server anteriores à 21.0.4 Versões do Nextcloud Server anteriores à 22.1.0 **Descrição** O Nextcloud Server é uma nuvem pessoal de código aberto e auto-hospedada que suporta a renderização de visualizações de imagens para conteúdos de arquivos fornecidos pelo usuário. Para alguns tipos de imagem, o Nextcloud Server invocava uma biblioteca de terceiros que não era adequada para conteúdo não confiável fornecido pelo usuário. Isso representa vários riscos de segurança, como Server-Side-Request-Forgery, divulgação de arquivos ou a execução potencial de código no sistema. O risco depende da configuração do sistema e da versão da biblioteca instalada. **Recomendações** Para versões anteriores à 20.0.12, atualize para a versão 20.0.12 ou posterior. Para versões anteriores à 21.0.4, atualize para a versão 21.0.4 ou posterior. Para versões anteriores à 22.1.0, atualize para a versão 22.1.0 ou posterior. Como solução temporária, os usuários podem desativar as visualizações definindo `enable previews` como `false` no arquivo `config.php`.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.13 Versões do Nextcloud Server anteriores à 20.0.11 Versões do Nextcloud Server anteriores à 21.0.3 **Descrição** A vulnerabilidade afeta o Nextcloud Server, um pacote que lida com armazenamento de dados. Nas versões afetadas, os limites de taxa não são aplicados às respostas da API OCS, o que pode ser explorado afetando qualquer controlador da API OCS (`OCSController`) que utilize a anotação `@BruteForceProtection`. O risco depende dos aplicativos instalados no Nextcloud Server e pode variar desde a contornagem dos limites de taxa de autenticação até o envio de spam a outros usuários do Nextcloud. **Recomendações** Para versões anteriores à 19.0.13, atualize para a versão 19.0.13 ou posterior. Para versões anteriores à 20.0.11, atualize para a versão 20.0.11 ou posterior. Para versões anteriores à 21.0.3, atualize para a versão 21.0.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Text anteriores à 19.0.13 Versões do Nextcloud Text anteriores à 20.0.11 Versões do Nextcloud Text anteriores à 21.0.3 **Descrição** Existe uma vulnerabilidade de script entre sites (XSS) na aplicação Nextcloud Text. O aplicativo utiliza um Content-Type `text/html` ao servir arquivos aos usuários. No entanto, devido à rigorosa Content-Security-Policy, essa vulnerabilidade não pode ser explorada em navegadores modernos que suportam a Content-Security-Policy. **Recomendações** Para versões anteriores à 19.0.13, atualize para a versão 19.0.13 ou posterior. Para versões anteriores à 20.0.11, atualize para a versão 20.0.11 ou posterior. Para versões anteriores à 21.0.3, atualize para a versão 21.0.3 ou posterior. Como solução temporária, considere usar um navegador que suporte a Política de Segurança de Conteúdo para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.13 Versões do Nextcloud Server anteriores à 20.0.11 Versões do Nextcloud Server anteriores à 21.0.3 **Descrição** O aplicativo Nextcloud Text fornecido com o Nextcloud Server exibia mensagens de exceção na íntegra para o usuário, o que poderia resultar na divulgação do caminho completo de arquivos compartilhados. **Recomendações** Para versões anteriores à 19.0.13, atualize para a versão 19.0.13 ou posterior. Para versões anteriores à 20.0.11, atualize para a versão 20.0.11 ou posterior. Para versões anteriores à 21.0.3, atualize para a versão 21.0.3 ou posterior. Como solução alternativa temporária, considere desativar o aplicativo Nextcloud Text nas configurações do aplicativo Nextcloud Server.