PT-2026-45527 · Nextcloud · Nextcloud Enterprise Server+1
Dorra Jaouad
·
Publicado
2026-06-01
·
Atualizado
2026-06-03
·
CVE-2026-45283
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Nextcloud Server versões 32.0.0 até 32.0.1
Nextcloud Server versões 33.0.0 até 33.0.0
Nextcloud Enterprise Server versões anteriores a 31.0.14.4
Nextcloud Enterprise Server versões 32.0.0 até 32.0.1
Nextcloud Enterprise Server versões 33.0.0 até 33.0.0
Description
O aplicativo
files lock não valida adequadamente a propriedade dos arquivos ao processar solicitações de bloqueio (lock) e desbloqueio (unlock) DAV. Um usuário autenticado pode bloquear ou desbloquear arquivos pertencentes a outros usuários ao direcionar seus caminhos absolutos WebDAV. Além disso, tokens de bloqueio são expostos a chamadores não autorizados em respostas de erro, permitindo que atacantes removam bloqueios baseados em tokens colocados por aplicativos de cliente de outros usuários.Recommendations
Atualizar para a versão 32.0.2 ou 33.0.1.
Atualizar para a versão 31.0.14.4, 32.0.2 ou 33.0.1.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nextcloud Enterprise Server
Nextcloud Server