PT-2021-23152 · Nextcloud+2 · Nextcloud Server+2

Bncrypted

·

Publicado

2021-10-25

·

Atualizado

2022-10-26

·

CVE-2021-41177

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Server anteriores à 20.0.13
Versões do Nextcloud Server anteriores à 21.0.5
Versões do Nextcloud Server anteriores à 22.2.0
Descrição
O Nextcloud é uma plataforma de produtividade de código aberto e auto-hospedada. Antes das versões 20.0.13, 21.0.5 e 22.2.0, o Nextcloud Server não implementava um backend de banco de dados para fins de limitação de taxa. Qualquer componente do Nextcloud que utilizasse limites de taxa (como AnonRateThrottle ou UserRateThrottle) não era, portanto, limitado em instâncias que não tivessem um backend de cache de memória configurado. No caso de uma instalação padrão, isso incluiria notavelmente os limites de taxa nos códigos de autenticação de dois fatores.
Recomendações
Atualize o Nextcloud Server para a versão 20.0.13
Atualize o Nextcloud Server para a versão 21.0.5
Atualize o Nextcloud Server para a versão 22.2.0
Como solução alternativa, habilite um backend de cache de memória no config.php

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-799

Identificadores relacionados

ALT-PU-2021-3108
ALT-PU-2021-3224
CVE-2021-41177
GHSA-FJ39-4QX4-M3F2
OPENSUSE-SU-2021:1602-1
OPENSUSE-SU-2021_1602-1

Produtos afetados

Alt Linux
Nextcloud Server
Suse