PT-2022-23162 · Nextcloud+1 · Nextcloud Server+2
Nickvergessen
+1
·
Publicado
2022-08-26
·
Atualizado
2023-07-21
·
CVE-2022-36074
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Server anteriores à 23.0.7
Versões do Nextcloud Server anteriores à 24.0.3
Versões do Nextcloud Enterprise Server anteriores à 22.2.11
Versões do Nextcloud Enterprise Server anteriores à 23.0.7
Versões do Nextcloud Enterprise Server anteriores à 24.0.3
Descrição
O Nextcloud Server é um produto de nuvem pessoal de código aberto. As versões afetadas deste pacote estão vulneráveis à exposição de informações, pois não removem o cabeçalho
Authorization durante o downgrade de HTTP. Isso pode levar à exposição e ao comprometimento do acesso à conta.Recomendações
Para versões do Nextcloud Server anteriores à 23.0.7, atualize para a versão 23.0.7 ou 24.0.3.
Para versões do Nextcloud Server anteriores à 24.0.3, atualize para a versão 24.0.3.
Para versões do Nextcloud Enterprise Server anteriores à 22.2.11, atualize para a versão 22.2.11, 23.0.7 ou 24.0.3.
Para versões do Nextcloud Enterprise Server anteriores à 23.0.7, atualize para a versão 23.0.7 ou 24.0.3.
Para versões do Nextcloud Enterprise Server anteriores à 24.0.3, atualize para a versão 24.0.3.
Como solução temporária, considere desativar o uso do cabeçalho
Authorization em downgrades HTTP até que um patch esteja disponível.Exploit
Correção
Incorrect Authorization
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Nextcloud Enterprise Server
Nextcloud Server