PT-2020-6431 · Nextcloud+1 · Nextcloud Desktop Client+1

Carl Pearson

+1

·

Publicado

2020-06-20

·

Atualizado

2023-08-30

·

CVE-2021-22895

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Desktop Client anteriores à 3.3.1
Descrição
O problema está relacionado à falta de verificação do certificado SSL ao utilizar o fluxo “Registrar-se com um provedor” no Nextcloud Desktop Client, permitindo que um invasor remoto comprometa a integridade dos dados.
Recomendações
Para versões anteriores à 3.3.1, atualize para a versão 3.3.1 ou posterior para resolver o problema. Como solução temporária, considere desativar o fluxo “Registrar-se com um provedor” até que uma correção esteja disponível. Restrinja o acesso ao fluxo afetado para minimizar o risco de exploração.

Exploit

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALT-PU-2023-2019
ALT-PU-2023-4584
ALT-PU-2023-5197
BDU:2021-04668
CVE-2021-22895
DSA-4974-1
GHSA-QPGP-VF4P-WCW5
MGASA-2021-0421

Produtos afetados

Alt Linux
Nextcloud Desktop Client