PT-2022-20459 · Nextcloud+1 · Nextcloud Server+1
Spaceraccoon
·
Publicado
2022-07-05
·
Atualizado
2023-06-29
·
CVE-2022-31014
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do servidor Nextcloud anteriores à 22.2.8
Versões do servidor Nextcloud anteriores à 23.0.5
Versões do servidor Nextcloud anteriores à 24.0.1
Descrição
O servidor Nextcloud é um servidor de nuvem pessoal de código aberto. Verificou-se que as versões afetadas são vulneráveis à injeção de comandos SMTP. O impacto varia de acordo com os comandos suportados pelo servidor SMTP de back-end. No entanto, o principal risco aqui é que o invasor possa sequestrar uma sessão SMTP já autenticada e executar comandos SMTP arbitrários como o usuário de e-mail, tais como enviar e-mails para outros usuários, alterar o remetente e assim por diante. Isso depende da configuração do próprio servidor, mas as quebras de linha devem ser sanitizadas para mitigar essa injeção arbitrária de comandos SMTP.
Recomendações
Para versões anteriores à 22.2.8, atualize para a versão 22.2.8 ou posterior.
Para versões anteriores à 23.0.5, atualize para a versão 23.0.5 ou posterior.
Para versões anteriores à 24.0.1, atualize para a versão 24.0.1 ou posterior.
Como solução temporária, considere sanitizar as quebras de linha para mitigar a injeção arbitrária de comandos SMTP.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Nextcloud Server