CVE-2025-47790

Nome do Software Vulnerável e Versões Afetadas: Versões do Nextcloud Server anteriores a 29.0.15, 30.0.9 e 31.0.3 Versões do Nextcloud Enterprise Server anteriores a 26.0.13.15, 27.1.11.15, 28.0.14.6, 29.0.15, 30.0.9 e 31.0.3

Descrição: O problema refere-se a uma falha no gerenciamento de sessão. Quando o servidor está configurado com remember login cookie lifetime definido como 0, a confirmação do segundo fator é ignorada após um login bem-sucedido com nome de usuário e senha, assim que a sessão expira na página de seleção do segundo fator e a página é recarregada.

Recomendações: Para versões do Nextcloud Server anteriores a 29.0.15, 30.0.9 e 31.0.3, atualize para a versão 29.0.15, 30.0.9 ou 31.0.3. Para versões do Nextcloud Enterprise Server anteriores a 26.0.13.15, 27.1.11.15, 28.0.14.6, 29.0.15, 30.0.9 e 31.0.3, atualize para a versão 26.0.13.15, 27.1.11.15, 28.0.14.6, 29.0.15, 30.0.9 ou 31.0.3. Como solução temporária, defina o remember login cookie lifetime no config.php para um valor diferente de 0, por exemplo, 900. A administração do sistema pode excluir as sessões afetadas.