PT-2024-9158 · Nextcloud+1 · Nextcloud Server+2
Tuyenee
·
Publicado
2024-09-02
·
Atualizado
2024-12-03
·
CVE-2024-52519
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas:
Versões do Nextcloud Server anteriores à 28.0.10 e anteriores à 29.0.7
Versões do Nextcloud Enterprise Server anteriores à 27.1.11.8, anteriores à 28.0.10 e anteriores à 29.0.7
Descrição:
O problema está relacionado ao armazenamento inseguro de informações confidenciais no Nextcloud Server e no Nextcloud Enterprise Server. Um invasor que obtenha acesso a um backup do banco de dados e ao arquivo de configuração do Nextcloud poderia descriptografar segredos de cliente OAuth2. Isso poderia permitir que uma parte não autorizada acessasse informações protegidas.
Recomendações:
Para versões do Nextcloud Server anteriores à 28.0.10, atualize para a versão 28.0.10 ou 29.0.7.
Para versões do Nextcloud Server anteriores à 29.0.7, atualize para a versão 29.0.7.
Para versões do Nextcloud Enterprise Server anteriores à 27.1.11.8, atualize para a versão 27.1.11.8, 28.0.10 ou 29.0.7.
Para versões do Nextcloud Enterprise Server anteriores à 28.0.10, atualize para a versão 28.0.10 ou 29.0.7.
Para versões do Nextcloud Enterprise Server anteriores à 29.0.7, atualize para a versão 29.0.7.
Exploit
Correção
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nextcloud Enterprise Server
Nextcloud Server
Red Os