CVE-2025-64011

Nome do Software Vulnerável e Versões Afetadas Nextcloud Server versão 30.0.0

Descrição O Nextcloud Server 30.0.0 contém uma vulnerabilidade de Referência Insegura Direta a Objetos (IDOR) no endpoint /core/preview. Um usuário autenticado pode acessar pré-visualizações de arquivos arbitrários pertencentes a outros usuários manipulando o parâmetro fileId. Isso permite a divulgação não autorizada de dados sensíveis, como arquivos de texto ou imagens, sem permissões de compartilhamento prévias. Um IDOR ocorre quando uma aplicação fornece acesso direto a objetos com base em entrada fornecida pelo usuário.

Recomendações Nextcloud Server versão 30.0.0: Restrinja o acesso ao endpoint /core/preview ou implemente controles de acesso mais rígidos para prevenir o acesso não autorizado à pré-visualização de arquivos.