PT-2022-24909 · Nextcloud · User Oidc
Lauritz
·
Publicado
2022-11-25
·
Atualizado
2022-12-01
·
CVE-2022-39339
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do user oidc anteriores à 1.2.1
Descrição
O problema diz respeito ao backend de usuários OpenID Connect do user oidc para o Nextcloud, no qual informações confidenciais, como credenciais de cliente OIDC e tokens, são enviadas em texto simples via HTTP sem TLS nas versões anteriores à 1.2.1. Isso permite que qualquer agente mal-intencionado com acesso para monitorar o tráfego do usuário possa comprometer a segurança da conta.
Recomendações
Para versões anteriores à 1.2.1, atualize para o user oidc v1.2.1 para resolver o problema.
Como solução alternativa temporária para usuários que não possam atualizar, use HTTPS para acessar o Nextcloud e defina uma URL de descoberta HTTPS nas configurações do provedor dentro das configurações de administração do Nextcloud OIDC.
Exploit
Correção
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
User Oidc