ГлавнаяБаза уязвимостей БДУ → BDU:2023-02262
9высокая

BDU:2023-02262 (CVE-2023-26482)

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-04-27
Описание

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе

Затрагиваемое ПО и версии
РЕД ОС (7.3)Nextcloud Enterprise Server (от 18.0.0 до 20.0.14.12)Nextcloud Enterprise Server (от 21.0.0 до 21.09.10)Nextcloud Enterprise Server (от 22.0.0 до 22.2.10.10)Nextcloud Enterprise Server (от 23.0.0 до 23.0.12.5)Nextcloud Enterprise Server (от 24.0.0 до 24.0.10)Nextcloud Enterprise Server (от 25.0.0 до 25.0.4)Nextcloud Server (от 24.0.0 до 24.0.10)Nextcloud Server (от 25.0.0 до 25.0.4)
Способ устранения

Использование рекомендаций:
Для Nextcloud:
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpj
https://github.com/nextcloud/server/commit/5a06b50b10cc9278bbe68bbf897a0c4aeb0c4e60

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2023-26482https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpjhttps://github.com/nextcloud/server/commit/5a06b50b10cc9278bbe68bbf897a0c4aeb0c4e60https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-nextcloud-cve-2023-28835-cve-2023-28833-cve-2023-28644-cve-2023-28643-cve/https://github.com/rapid7/metasploit-framework/commit/c598d8b4b00581ff801cdcb3e79f8de056adf6b8
Проверьте безопасность своего сайта и почты → Полная проверка домена