PT-2021-19902 · Collabora+1 · Collabora Editor+1
Rtod
·
Publicado
2021-07-27
·
Atualizado
2021-08-09
·
CVE-2021-32748
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Richdocuments anteriores à 3.8.3
Versões do Nextcloud Richdocuments anteriores à 4.2.0
Descrição
A comunicação entre o Nextcloud Richdocuments e o Collabora Editor, utilizando o protocolo WOPI, não era protegida por credenciais ou verificações de IP. Isso pode resultar na contornamento de qualquer marca d'água aplicada aos documentos, conforme descrito no site do Nextcloud Virtual Data Room. Isso afeta principalmente a marca d'água configurada ou a proteção contra download utilizando o Controle de Acesso a Arquivos.
Recomendações
Para versões do Nextcloud Richdocuments anteriores à 3.8.3, atualize para a versão 3.8.3 e configure a lista de permissões com uma lista de servidores Collabora.
Para versões do Nextcloud Richdocuments anteriores à 4.2.0, atualize para a versão 4.2.0 e configure a lista de permissões com uma lista de servidores Collabora.
Como solução alternativa temporária, considere restringir o acesso à API WOPI até que o problema seja resolvido.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Collabora Editor
Nextcloud Richdocuments