PT-2021-21739 · Nextcloud · Nextcloud Desktop Client
Ameenbasha111
·
Publicado
2021-08-18
·
Atualizado
2022-10-25
·
CVE-2021-37617
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 3.0.3 a 3.2.4 do Nextcloud Desktop Client
Descrição
O Nextcloud Desktop Client é uma ferramenta para sincronizar arquivos do servidor Nextcloud com um computador. O cliente invoca seu script de desinstalação durante a instalação para garantir que não existam resquícios de instalações anteriores. Nas versões afetadas, o cliente procura o arquivo
Uninstall.exe em uma pasta na qual usuários comuns têm permissão de gravação. Isso poderia permitir que um usuário mal-intencionado criasse um arquivo Uninstall.exe malicioso, que seria executado com privilégios administrativos durante a instalação do Nextcloud Desktop Client.Recomendações
Para as versões 3.0.3 a 3.2.4 do Nextcloud Desktop Client, atualize para a versão 3.3.0 para resolver o problema.
Como solução temporária, não permita que usuários não confiáveis criem conteúdo na pasta do sistema
C: e verifique se não há nenhum arquivo C:Uninstall.exe malicioso no sistema.Correção
Uncontrolled Search Path Element
Untrusted Search Path
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nextcloud Desktop Client