PT-2024-9153 · Nextcloud+2 · Nextcloud Server+2
Tuyenee
·
Publicado
2024-10-28
·
Atualizado
2025-02-01
·
CVE-2024-52525
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Versões do Nextcloud Server anteriores à 28.0.12
Versões do Nextcloud Server anteriores à 29.0.9
Versões do Nextcloud Server anteriores à 30.0.2
Descrição:
O problema diz respeito ao armazenamento de senhas de usuários em formato não criptografado nos dados de sessão sob determinadas condições. Embora os dados de sessão sejam criptografados antes de serem salvos, um processo malicioso que obtenha acesso à memória do processo PHP poderia obter a senha em texto simples.
Recomendações:
Para versões anteriores à 28.0.12, atualize para a versão 28.0.12.
Para versões anteriores à 29.0.9, atualize para a 29.0.9.
Para versões anteriores à 30.0.2, atualize para a 30.0.2.
Como solução temporária, considere restringir o acesso a dados confidenciais até que a atualização seja aplicada.
Exploit
Correção
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Nextcloud Server
Red Os