PT-2021-19928 · Nextcloud+1 · Nextcloud Circles+1
Lukas Reschke
·
Publicado
2021-09-07
·
Atualizado
2021-09-10
·
CVE-2021-32782
CVSS v3.1
5.8
Média
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Circles anteriores à 0.19.14
Versões do Nextcloud Circles anteriores à 0.20.10
Versões do Nextcloud Circles anteriores à 0.21.3
Descrição
O aplicativo Nextcloud Circles está vulnerável a uma falha de Cross-Site Scripting (XSS) armazenada. Devido à rigorosa Política de Segurança de Conteúdo (Content-Security-Policy) incluída no Nextcloud, essa vulnerabilidade não pode ser explorada em navegadores modernos que suportam a Política de Segurança de Conteúdo. Uma exceção notável é o Internet Explorer, que não suporta a Política de Segurança de Conteúdo adequadamente.
Recomendações
Para versões anteriores à 0.19.14, atualize para a versão 0.19.14 para resolver essa vulnerabilidade.
Para versões anteriores à 0.20.10, atualize para a versão 0.20.10 para resolver esta vulnerabilidade.
Para versões anteriores à 0.21.3, atualize para a versão 0.21.3 para resolver esta vulnerabilidade.
Como solução temporária, os usuários podem utilizar um navegador que ofereça suporte à Política de Segurança de Conteúdo.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Internet Explorer
Nextcloud Circles