PT-2024-4412 · Nextcloud+1 · Nextcloud Notes+1
Arianitisufi
+2
·
Publicado
2024-06-14
·
Atualizado
2024-08-19
·
CVE-2024-37317
CVSS v2.0
4.6
Média
| Vetor | AV:N/AC:H/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Nextcloud Notes anteriores à 4.9.3
Descrição
O problema está relacionado à possibilidade de compartilhar uma pasta chamada
Notes/ com um usuário recém-criado antes que ele faça login, permitindo que um invasor remoto acesse informações confidenciais.Recomendações
Para versões anteriores à 4.9.3, atualize o aplicativo Nextcloud Notes para a versão 4.9.3 para resolver o problema. Como solução temporária, considere restringir o acesso à pasta
Notes/ para minimizar o risco de exploração.Exploit
Correção
Improper Access Control
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nextcloud Notes
Red Os