7.1высокая
BDU:2023-03598 (CVE-2023-35172)
Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильным ограничением чрезмерных попыток аутентификации, позволяющая нарушителю скомпрометировать целевую систему
Опубликовано: 2023-07-10
Описание
Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud связана с отсутствием защиты от атак методом "грубой силы" при проведении процедуры сброса пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, взломать ссылки для сброса пароля
Затрагиваемое ПО и версии
РЕД ОС (7.3)Nextcloud Enterprise Server (от 21.0.0 до 21.0.9.12)Nextcloud Enterprise Server (от 22.0.0 до 22.2.10.12)Nextcloud Enterprise Server (от 23.0.0 до 23.0.12.7)Nextcloud Enterprise Server (от 24.0.0 до 24.0.12.2)Nextcloud Enterprise Server (от 25.0.0 до 25.0.7)Nextcloud Enterprise Server (от 26.0.0 до 26.0.2)Nextcloud Server (от 25.0.0 до 25.0.7)Nextcloud Server (от 26.0.0 до 26.0.2)
Способ устранения
Обновление программного обеспечения NextCloud Server до версии 25.0.7 или 26.0.2
Обновление программного обеспечения NextCloud Enterprise Server до версии 21.0.9.12, 22.2.10.12, 23.0.12.7, 24.0.12.2, 25.0.7 или 26.0. 2
Использование рекомендаций:
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Оценка CVSS
| Балл | 7.1 — высокая опасность |
Источники и патчи