PT-2020-9747 · Nextcloud+2 · Nextcloud Server+2

Leon Klingele

Publicado

2020-02-04

Atualizado

2021-10-29

CVE-2019-15623

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Nome do software vulnerável e versões afetadas

Nextcloud Server versão 16.0.1

Descrição

A falha faz com que o servidor envie seu domínio e os IDs dos usuários ao Nextcloud Lookup Server sem quaisquer outros dados quando o servidor Lookup está desativado. Isso resulta na exposição de informações privadas.

Recomendações

Para o Nextcloud Server versão 16.0.1, considere desativar o recurso do servidor Lookup para evitar a exposição de informações privadas até que uma correção esteja disponível. Restrinja o acesso a dados confidenciais para minimizar o risco de exploração.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-359

Identificadores relacionados

ALT-PU-2020-3060

CVE-2019-15623

OPENSUSE-SU-2020:0220-1

OPENSUSE-SU-2020:0229-1

OPENSUSE-SU-2020_0220-1

Produtos afetados

Alt Linux

Nextcloud Server

Suse

PT-2020-9747 · Nextcloud+2 · Nextcloud Server+2

CVE-2019-15623

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 24