PT-2021-23153 · Nextcloud+1 · Nextcloud+1
Bncrypted
·
Publicado
2021-10-25
·
Atualizado
2022-10-25
·
CVE-2021-41178
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud anteriores à 20.0.13
Versões do Nextcloud anteriores à 21.0.5
Versões do Nextcloud anteriores à 22.2.0
Descrição
Uma vulnerabilidade de traversal de arquivos no Nextcloud permite que um invasor baixe imagens SVG arbitrárias do sistema host, incluindo arquivos fornecidos pelo usuário. Isso poderia ser explorado em um ataque XSS/phishing através do upload de um arquivo SVG malicioso que imita o formulário de login do Nextcloud e do envio de um link especialmente criado para as vítimas. No entanto, o risco de XSS é mitigado devido à rigorosa Política de Segurança de Conteúdo (Content-Security-Policy) do Nextcloud, que impede a execução de JavaScript arbitrário.
Recomendações
Atualize para a versão 20.0.13 ou posterior
Atualize para a versão 21.0.5 ou posterior
Atualize para a versão 22.2.0 ou posterior
Não há soluções alternativas conhecidas além da atualização.
Correção
Unrestricted File Upload
Relative Path Traversal
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nextcloud
Suse