Rtod

**Nome do software vulnerável e versões afetadas** Versões do richdocuments anteriores à 6.0.0 Versões do richdocuments anteriores à 5.0.4 Versões do richdocuments anteriores à 4.2.6 **Descrição** A vulnerabilidade afeta o NextCloud Collabra, o aplicativo de colaboração do NextCloud Office. Um usuário poderia ser induzido a trabalhar em um Office remoto mediante o envio de um compartilhamento federado. **Recomendações** Para versões anteriores à 6.0.0, atualize para a versão 6.0.0 ou posterior. Para versões anteriores à 5.0.4, atualize para a versão 5.0.4 ou posterior. Para versões anteriores à 4.2.6, atualize para a versão 4.2.6 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Desktop Client anteriores à 3.3.0 **Descrição** O problema está relacionado ao recurso de criptografia de ponta a ponta do Nextcloud Desktop Client, no qual o cliente não verifica se uma chave privada pertence a um certificado público baixado anteriormente. Isso permite que um invasor remoto possa acessar dados confidenciais caso a instância do Nextcloud forneça uma chave pública maliciosa. Os dados seriam criptografados com essa chave, tornando-os acessíveis a um agente mal-intencionado. **Recomendações** Para versões anteriores à 3.3.0, atualize para a versão 3.3.0 do Nextcloud Desktop Client para corrigir o problema. Como solução temporária, considere restringir o acesso ao endpoint da API usado para baixar chaves públicas e privadas até que a atualização seja possível. Evite usar o recurso de criptografia de ponta a ponta com instâncias do Nextcloud não confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Richdocuments anteriores à 3.8.3 Versões do Nextcloud Richdocuments anteriores à 4.2.0 **Descrição** A comunicação entre o Nextcloud Richdocuments e o Collabora Editor, utilizando o protocolo WOPI, não era protegida por credenciais ou verificações de IP. Isso pode resultar na contornamento de qualquer marca d'água aplicada aos documentos, conforme descrito no site do Nextcloud Virtual Data Room. Isso afeta principalmente a marca d'água configurada ou a proteção contra download utilizando o Controle de Acesso a Arquivos. **Recomendações** Para versões do Nextcloud Richdocuments anteriores à 3.8.3, atualize para a versão 3.8.3 e configure a lista de permissões com uma lista de servidores Collabora. Para versões do Nextcloud Richdocuments anteriores à 4.2.0, atualize para a versão 4.2.0 e configure a lista de permissões com uma lista de servidores Collabora. Como solução alternativa temporária, considere restringir o acesso à API WOPI até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.13 Versões do Nextcloud Server anteriores à 20.0.11 Versões do Nextcloud Server anteriores à 21.0.3 **Descrição** A funcionalidade de registro de auditoria do Nextcloud Server não estava registrando corretamente os eventos relacionados à remoção da data de validade de um compartilhamento, o que deveria ser registrado. **Recomendações** Para versões anteriores à 19.0.13, atualize para a versão 19.0.13 ou posterior. Para versões anteriores à 20.0.11, atualize para a versão 20.0.11 ou posterior. Para versões anteriores à 21.0.3, atualize para a versão 21.0.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.13 Versões do Nextcloud Server anteriores à 20.0.11 Versões do Nextcloud Server anteriores à 21.0.3 **Descrição** O Nextcloud Server é um pacote que lida com o armazenamento de dados e suporta tokens específicos de aplicativos para fins de autenticação. Esses tokens são concedidos a aplicativos específicos e podem ser configurados pelo usuário para não terem acesso ao sistema de arquivos. No entanto, devido a uma falha na verificação de permissões, os tokens conseguiam alterar suas próprias permissões, permitindo que tokens com acesso limitado ao sistema de arquivos concedessem a si mesmos acesso ao sistema de arquivos. **Recomendações** Para versões anteriores à 19.0.13, atualize para a versão 19.0.13 ou posterior. Para versões anteriores à 20.0.11, atualize para a versão 20.0.11 ou posterior. Para versões anteriores à 21.0.3, atualize para a versão 21.0.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Talk anteriores à 11.2.2 As versões do Nextcloud Talk anteriores à 11.3.0 podem ser simplificadas para o acima mencionado, uma vez que as versões anteriores à 11.2.2 já incluem as versões anteriores à 11.3.0. Portanto, a versão simplificada é: Versões do Nextcloud Talk anteriores à 11.2.2 **Descrição** A vulnerabilidade permite que um usuário acesse qualquer mensagem de chat enviada a um usuário anterior com um nome de usuário reutilizado. Isso pode ocorrer se um usuário conseguir reutilizar um nome de usuário usado anteriormente. **Recomendações** Para versões anteriores à 11.2.2, atualize para a versão 11.2.2 ou posterior para resolver o problema. Como solução temporária, não permita que os usuários escolham seus próprios nomes de usuário, para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.13 Versões do Nextcloud Server anteriores à 20.0.11 Versões do Nextcloud Server anteriores à 21.0.3 **Descrição** O problema está relacionado à falta de limitação de taxa no endpoint DAV público, o que pode ter permitido que um invasor enumerasse tokens de compartilhamento ou credenciais potencialmente válidos. **Recomendações** Para versões anteriores à 19.0.13, atualize para a versão 19.0.13 ou posterior. Para versões anteriores à 20.0.11, atualize para a versão 20.0.11 ou posterior. Para versões anteriores à 21.0.3, atualize para a versão 21.0.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.13 Versões do Nextcloud Server anteriores à 20.0.11 Versões do Nextcloud Server anteriores à 21.0.3 **Descrição** O problema diz respeito ao tratamento de tokens webauthn no Nextcloud Server. Nas versões afetadas, os tokens webauthn não eram excluídos após a exclusão de um usuário. Isso poderia permitir que um usuário anterior obtivesse acesso a uma conta caso o nome de usuário fosse reutilizado. **Recomendações** Para versões anteriores à 19.0.13, atualize para a versão 19.0.13 ou posterior. Para versões anteriores à 20.0.11, atualize para a versão 20.0.11 ou posterior. Para versões anteriores à 21.0.3, atualize para a versão 21.0.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Android Client anteriores à 3.16.1 **Descrição** O problema diz respeito ao tratamento da criptografia de ponta a ponta pelo Nextcloud Android Client. Ao utilizar esse recurso, os clientes baixam chaves públicas e privadas por meio de um endpoint de API. Nas versões afetadas, o cliente não verifica se uma chave privada corresponde a um certificado público baixado anteriormente. Isso poderia permitir que um agente mal-intencionado forneça uma chave pública falsa, possibilitando-lhe o acesso a dados criptografados. **Recomendações** Para versões anteriores à 3.16.1, atualize para a versão 3.16.1 para resolver o problema. Como solução alternativa temporária, não adicione dispositivos com criptografia de ponta a ponta adicionais a uma conta de usuário.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Talk anteriores à 9.0.10 Versões do Nextcloud Talk anteriores à 10.0.8 Versões do Nextcloud Talk anteriores à 11.2.2 **Descrição** O Nextcloud Talk é um serviço de comunicação por áudio/vídeo e chat totalmente local. Os chats compartilhados protegidos por senha no Talk não renovavam o cookie de sessão após um evento de autenticação bem-sucedido. **Recomendações** Para versões anteriores à 9.0.10, atualize para a versão 9.0.10. Para versões anteriores à 10.0.8, atualize para a versão 10.0.8. Para versões anteriores à 11.2.2, atualize para a versão 11.2.2.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Deck anteriores à 1.2.7 Versões do Nextcloud Deck anteriores à 1.4.1 **Descrição** O problema decorre de uma vulnerabilidade de divulgação de informações. Ao pesquisar destinatários de compartilhamento, o servidor de pesquisa é utilizado por padrão, em vez de apenas o servidor Nextcloud local, a menos que uma pesquisa global tenha sido explicitamente selecionada pelo usuário. **Recomendações** Para versões do Nextcloud Deck anteriores à 1.2.7, atualize para a versão 1.2.7 ou posterior para resolver o problema. Para versões do Nextcloud Deck anteriores à 1.4.1, atualize para a versão 1.4.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud End-to-End Encryption anteriores à 1.5.3 Versões do Nextcloud End-to-End Encryption anteriores à 1.6.3 Versões do Nextcloud End-to-End Encryption anteriores à 1.7.1 **Descrição** A vulnerabilidade permite que qualquer usuário autenticado bloqueie arquivos de outros usuários, resultando em uma negação de serviço. **Recomendações** Para versões anteriores à 1.5.3, atualize para a versão 1.5.3 ou posterior. Para versões anteriores à 1.6.3, atualize para a versão 1.6.3 ou posterior. Para versões anteriores à 1.7.1, atualize para a versão 1.7.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do aplicativo Nextcloud para Android anteriores à 3.16.0 **Descrição** O problema está relacionado à divulgação de informações devido às pesquisas por usuários compartilhados serem realizadas por padrão no servidor de pesquisa, em vez de usar apenas o servidor Nextcloud local, a menos que uma pesquisa global tenha sido explicitamente escolhida pelo usuário. **Recomendações** Para versões anteriores à 3.16.0, atualize para a versão 3.16.0 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud para Android anteriores à 3.16.1 **Descrição** O cliente Nextcloud para Android apresenta um problema de tempo limite que pode impedir a limpeza adequada de dados confidenciais quando uma conta é removida. Isso pode incluir material de chave confidencial, como chaves de criptografia de ponta a ponta. **Recomendações** Para versões anteriores à 3.16.1, atualize o aplicativo Nextcloud para Android para a versão 3.16.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.11 Versões do Nextcloud Server anteriores à 20.0.10 Versões do Nextcloud Server anteriores à 21.0.2 **Descrição** A vulnerabilidade permite que um invasor obtenha privilégios de gravação/leitura em qualquer compartilhamento de arquivos federado. Isso também pode ser explorado em qualquer link público, já que links públicos podem ser adicionados como um compartilhamento de arquivos federado. **Recomendações** Para versões anteriores à 19.0.11, atualize para a versão 19.0.11 ou desative o compartilhamento de arquivos federado como solução alternativa. Para versões anteriores à 20.0.10, atualize para a versão 20.0.10 ou desative o compartilhamento federado de arquivos como solução alternativa. Para versões anteriores à 21.0.2, atualize para a versão 21.0.2 ou desative o compartilhamento federado de arquivos como solução alternativa.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.11 Versões do Nextcloud Server anteriores à 20.0.10 Versões do Nextcloud Server anteriores à 21.0.2 **Descrição** O problema ocorre quando um invasor converte um link do Files Drop em um compartilhamento federado, causando problemas na interface do usuário para o usuário que compartilha. Quando o usuário que compartilha tenta remover os privilégios de “Criar” desse compartilhamento inesperado, o servidor Nextcloud concede silenciosamente privilégios de leitura ao compartilhamento. **Recomendações** Para versões anteriores à 19.0.11, atualize para a versão 19.0.11 ou posterior. Para versões anteriores à 20.0.10, atualize para a versão 20.0.10 ou posterior. Para versões anteriores à 21.0.2, atualize para a versão 21.0.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.11 Versões do Nextcloud Server anteriores à 20.0.10 Versões do Nextcloud Server anteriores à 21.0.2 **Descrição** Existe uma vulnerabilidade no recurso de compartilhamento federado do Nextcloud Server, permitindo que um invasor obtenha acesso a informações básicas sobre os usuários de um servidor ao acessar um link público que um usuário legítimo do servidor adicionou como compartilhamento federado. Isso ocorre porque o Nextcloud oferece suporte ao compartilhamento de usuários registrados com outros servidores Nextcloud, o que pode ser feito automaticamente ao selecionar a configuração “Adicionar servidor automaticamente após a criação bem-sucedida de um compartilhamento federado”. **Recomendações** Para versões anteriores à 19.0.11, atualize para a versão 19.0.11 ou posterior. Para versões anteriores à 20.0.10, atualize para a versão 20.0.10 ou posterior. Para versões anteriores à 21.0.2, atualize para a versão 21.0.2 ou posterior. Como solução alternativa temporária, considere desativar a configuração “Adicionar servidor automaticamente após a criação bem-sucedida de um compartilhamento federado” nas configurações do Nextcloud.

**Nome do software vulnerável e versões afetadas** Versões do Nextcloud Server anteriores à 19.0.11 Versões do Nextcloud Server anteriores à 20.0.10 Versões do Nextcloud Server anteriores à 21.0.2 **Descrição** O problema afeta o Nextcloud Server, um pacote que lida com armazenamento de dados. Ele envia IDs de usuário para o servidor de pesquisa mesmo quando o usuário não tem campos definidos como publicados. **Recomendações** Para versões anteriores à 19.0.11, atualize para a versão 19.0.11 ou posterior. Para versões anteriores à 20.0.10, atualize para a versão 20.0.10 ou posterior. Para versões anteriores à 21.0.2, atualize para a versão 21.0.2 ou posterior.