PT-2022-11377 · Nextcloud+1 · Nextcloud Server+1
Mejo-
+1
·
Publicado
2022-03-08
·
Atualizado
2022-10-24
·
CVE-2021-41239
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Server anteriores à 20.0.14
Versões do Nextcloud Server anteriores à 21.0.6
Versões do Nextcloud Server anteriores à 22.2.1
Descrição
O Nextcloud Server é um sistema auto-hospedado projetado para fornecer serviços do tipo nuvem. Nas versões afetadas, a API de status do usuário não considerava as configurações de enumeração de usuários definidas pelo administrador. Isso permitia que um usuário enumerasse outros usuários na instância, mesmo quando as listas de usuários estavam desativadas.
Recomendações
Para versões anteriores à 20.0.14, atualize para a 20.0.14.
Para versões anteriores à 21.0.6, atualize para a 21.0.6.
Para versões anteriores à 22.2.1, atualize para a 22.2.1.
Como solução alternativa temporária, considere desativar a API de status do usuário até que um patch esteja disponível.
Correção
Information Disclosure
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Nextcloud Server