PT-2024-4383 · Nextcloud+2 · Nextcloud Server+3
Fernandoenzo
·
Publicado
2024-06-14
·
Atualizado
2025-01-24
·
CVE-2024-37882
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:N/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Server anteriores à 26.0.13
Versões do Nextcloud Server anteriores à 27.1.8
Versões do Nextcloud Server anteriores à 28.0.4
Versões do Nextcloud Enterprise Server anteriores à 26.0.13
Versões do Nextcloud Enterprise Server anteriores à 27.1.8
Versões do Nextcloud Enterprise Server anteriores à 28.0.4
Descrição
Um destinatário de um compartilhamento com permissões de leitura e compartilhamento poderia compartilhar novamente o item com permissões mais amplas. Esta vulnerabilidade está relacionada ao envio de solicitações para excluir versões antigas de arquivos que só poderiam ser obtidas com permissões de leitura. A exploração desta vulnerabilidade pode permitir que um invasor remoto comprometa a integridade dos dados ou cause uma negação de serviço.
Recomendações
Para versões do Nextcloud Server anteriores à 26.0.13, atualize para a versão 26.0.13 ou posterior.
Para versões do Nextcloud Server anteriores à 27.1.8, atualize para a versão 27.1.8 ou posterior.
Para versões do Nextcloud Server anteriores à 28.0.4, atualize para a versão 28.0.4 ou posterior.
Para versões do Nextcloud Enterprise Server anteriores à 26.0.13, atualize para a versão 26.0.13 ou posterior.
Para versões do Nextcloud Enterprise Server anteriores à 27.1.8, atualize para a versão 27.1.8 ou posterior.
Para versões do Nextcloud Enterprise Server anteriores à 28.0.4, atualize para a versão 28.0.4 ou posterior.
Exploit
Correção
Improper Access Control
Improper Preservation of Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Nextcloud Enterprise Server
Nextcloud Server
Red Os