PT-2024-4381 · Nextcloud+2 · Nextcloud Server+3
7H3B4Dger
·
Publicado
2024-06-14
·
Atualizado
2025-01-24
·
CVE-2024-37315
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Server anteriores à 26.0.12
Versões do Nextcloud Server anteriores à 27.1.7
Versões do Nextcloud Server anteriores à 28.0.3
Versões do Nextcloud Enterprise Server anteriores à 23.0.12.16
Versões do Nextcloud Enterprise Server anteriores à 24.0.12.12
Versões do Nextcloud Enterprise Server anteriores à 25.0.13.6
Versões do Nextcloud Enterprise Server anteriores à 26.0.12
Versões do Nextcloud Enterprise Server anteriores à 27.1.7
Versões do Nextcloud Enterprise Server anteriores à 28.0.3
Descrição
O problema está relacionado à função
files versions() no Nextcloud Server, que permite que um invasor com acesso somente leitura a um arquivo restaure versões anteriores de um documento quando o aplicativo files versions está habilitado. Isso pode ser explorado por um invasor remoto.Recomendações
Atualize o Nextcloud Server para a versão 26.0.12
Atualize o Nextcloud Server para a versão 27.1.7
Atualize o Nextcloud Server para a versão 28.0.3
Atualize o Nextcloud Enterprise Server para a versão 23.0.12.16
Atualize o Nextcloud Enterprise Server para a versão 24.0.12.12
Atualize o Nextcloud Enterprise Server para a versão 25.0.13.6
Atualize o Nextcloud Enterprise Server para a versão 26.0.12
Atualize o Nextcloud Enterprise Server para a versão 27.1.7
Atualize o Nextcloud Enterprise Server para a versão 28.0.3
Como solução temporária, considere desativar o aplicativo
files versions até que um patch esteja disponível.Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Nextcloud Enterprise Server
Nextcloud Server
Red Os