CVE-2024-52523

Nome do software vulnerável e versões afetadas:

Versões do Nextcloud Server anteriores à 28.0.12

Versões do Nextcloud Server anteriores à 29.0.9

Versões do Nextcloud Server anteriores à 30.0.2

Versões do Nextcloud Enterprise Server anteriores à 25.0.13.14

Versões do Nextcloud Enterprise Server anteriores à 26.0.13.10

Versões do Nextcloud Enterprise Server anteriores à 27.1.11.10

Versões do Nextcloud Enterprise Server anteriores à 28.0.12

Versões do Nextcloud Enterprise Server anteriores à 29.0.9

Versões do Nextcloud Enterprise Server anteriores à 30.0.2

Descrição:

A vulnerabilidade diz respeito à proteção insuficiente dos dados de serviço no Nextcloud Server e no Nextcloud Enterprise Server, permitindo que um invasor com acesso a uma sessão de usuário ativa leia credenciais de armazenamento externo em texto simples. Isso ocorre quando um usuário ou administrador configura um armazenamento externo com credenciais fixas, e a API retorna essas credenciais, adicionando-as ao front-end.

Recomendações:

Para versões do Nextcloud Server anteriores à 28.0.12, atualize para a versão 28.0.12 ou posterior.

Para versões do Nextcloud Server anteriores à 29.0.9, atualize para a versão 29.0.9 ou posterior.

Para versões do Nextcloud Server anteriores à 30.0.2, atualize para a versão 30.0.2 ou posterior.

Para versões do Nextcloud Enterprise Server anteriores à 25.0.13.14, atualize para a versão 25.0.13.14 ou posterior.

Para versões do Nextcloud Enterprise Server anteriores à 26.0.13.10, atualize para a versão 26.0.13.10 ou posterior.

Para versões do Nextcloud Enterprise Server anteriores à 27.1.11.10, atualize para a versão 27.1.11.10 ou posterior.

Para o Nextcloud Ent