PT-2022-11371 · Nextcloud · Nextcloud Talk
Ctulhu
·
Publicado
2022-03-08
·
Atualizado
2022-03-15
·
CVE-2021-41180
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Talk anteriores à 12.1.2
Descrição
O Nextcloud Talk é um serviço de mensagens auto-hospedado. Nas versões afetadas, um invasor é capaz de controlar o link de uma pré-visualização de geolocalização no aplicativo Nextcloud Talk devido à falta de validação do link. Isso poderia resultar em um redirecionamento aberto, mas exigia interação do usuário. Isso afetou apenas usuários do cliente Talk para Android.
Recomendações
Para versões anteriores à 12.1.2, recomenda-se que o aplicativo Nextcloud Talk seja atualizado para a versão 12.1.2.
Como solução temporária, considere restringir o uso de visualizações de geolocalização no aplicativo Nextcloud Talk até que um patch esteja disponível.
Evite usar o recurso de visualização de geolocalização no cliente Android Talk afetado até que o problema seja resolvido.
Exploit
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nextcloud Talk