PT-2021-19941 · Nextcloud+2 · Nextcloud Server+2

Lukasreschkenc

·

Publicado

2021-09-07

·

Atualizado

2022-09-27

·

CVE-2021-32802

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Server anteriores à 20.0.12
Versões do Nextcloud Server anteriores à 21.0.4
Versões do Nextcloud Server anteriores à 22.1.0
Descrição
O Nextcloud Server é uma nuvem pessoal de código aberto e auto-hospedada que suporta a renderização de visualizações de imagens para conteúdos de arquivos fornecidos pelo usuário. Para alguns tipos de imagem, o Nextcloud Server invocava uma biblioteca de terceiros que não era adequada para conteúdo não confiável fornecido pelo usuário. Isso representa vários riscos de segurança, como Server-Side-Request-Forgery, divulgação de arquivos ou a execução potencial de código no sistema. O risco depende da configuração do sistema e da versão da biblioteca instalada.
Recomendações
Para versões anteriores à 20.0.12, atualize para a versão 20.0.12 ou posterior.
Para versões anteriores à 21.0.4, atualize para a versão 21.0.4 ou posterior.
Para versões anteriores à 22.1.0, atualize para a versão 22.1.0 ou posterior.
Como solução temporária, os usuários podem desativar as visualizações definindo enable previews como false no arquivo config.php.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-829

Identificadores relacionados

ALT-PU-2021-3108
ALT-PU-2021-3224
CVE-2021-32802
GHSA-M682-V4G9-WRQ7
OPENSUSE-SU-2021:1250-1
OPENSUSE-SU-2021:1252-1
OPENSUSE-SU-2021:1253-1
OPENSUSE-SU-2021:1255-1
OPENSUSE-SU-2021:1275-1
OPENSUSE-SU-2021_1253-1

Produtos afetados

Alt Linux
Nextcloud Server
Suse