PT-2024-4380 · Nextcloud+2 · Nextcloud Server+3
Section1
·
Publicado
2024-06-14
·
Atualizado
2025-01-24
·
CVE-2024-37887
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Server anteriores à 27.1.10
Versões do Nextcloud Server anteriores à 28.0.6
Versões do Nextcloud Server anteriores à 29.0.1
Versões do Nextcloud Enterprise Server anteriores à 27.1.10
Versões do Nextcloud Enterprise Server anteriores à 28.0.6
Versões do Nextcloud Enterprise Server anteriores à 29.0.1
Descrição
O problema está relacionado a um controle de acesso incorreto no componente Calendário do Nextcloud Server, permitindo que usuários com acesso compartilhado leiam exceções de recorrência de eventos privados do calendário compartilhado. Isso pode permitir que um invasor remoto acesse informações confidenciais.
Recomendações
Para versões do Nextcloud Server anteriores à 27.1.10, atualize para a versão 27.1.10 ou posterior.
Para versões do Nextcloud Server anteriores à 28.0.6, atualize para a versão 28.0.6 ou posterior.
Para versões do Nextcloud Server anteriores à 29.0.1, atualize para a versão 29.0.1 ou posterior.
Para versões do Nextcloud Enterprise Server anteriores à 27.1.10, atualize para a versão 27.1.10 ou posterior.
Para versões do Nextcloud Enterprise Server anteriores à 28.0.6, atualize para a versão 28.0.6 ou posterior.
Para versões do Nextcloud Enterprise Server anteriores à 29.0.1, atualize para a versão 29.0.1 ou posterior.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Nextcloud Enterprise Server
Nextcloud Server
Red Os