PT-2021-19888 · Nextcloud · Nextcloud Android Client
Rtod
·
Publicado
2021-07-12
·
Atualizado
2021-07-14
·
CVE-2021-32727
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Android Client anteriores à 3.16.1
Descrição
O problema diz respeito ao tratamento da criptografia de ponta a ponta pelo Nextcloud Android Client. Ao utilizar esse recurso, os clientes baixam chaves públicas e privadas por meio de um endpoint de API. Nas versões afetadas, o cliente não verifica se uma chave privada corresponde a um certificado público baixado anteriormente. Isso poderia permitir que um agente mal-intencionado forneça uma chave pública falsa, possibilitando-lhe o acesso a dados criptografados.
Recomendações
Para versões anteriores à 3.16.1, atualize para a versão 3.16.1 para resolver o problema.
Como solução alternativa temporária, não adicione dispositivos com criptografia de ponta a ponta adicionais a uma conta de usuário.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nextcloud Android Client