PT-2021-6528 · Nextcloud+1 · Nextcloud Desktop Client+1
Rtod
·
Publicado
2021-08-18
·
Atualizado
2023-08-30
·
CVE-2021-32728
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Desktop Client anteriores à 3.3.0
Descrição
O problema está relacionado ao recurso de criptografia de ponta a ponta do Nextcloud Desktop Client, no qual o cliente não verifica se uma chave privada pertence a um certificado público baixado anteriormente. Isso permite que um invasor remoto possa acessar dados confidenciais caso a instância do Nextcloud forneça uma chave pública maliciosa. Os dados seriam criptografados com essa chave, tornando-os acessíveis a um agente mal-intencionado.
Recomendações
Para versões anteriores à 3.3.0, atualize para a versão 3.3.0 do Nextcloud Desktop Client para corrigir o problema. Como solução temporária, considere restringir o acesso ao endpoint da API usado para baixar chaves públicas e privadas até que a atualização seja possível. Evite usar o recurso de criptografia de ponta a ponta com instâncias do Nextcloud não confiáveis para minimizar o risco de exploração.
Exploit
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Nextcloud Desktop Client