8.3высокая
BDU:2023-03776 (CVE-2023-35172)
Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud, связанная с неправильным обращением с недостаточными привилегиями, позволяющая нарушителю получить доступ к учетным данным других пользователей.
Опубликовано: 2023-07-18
Описание
Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud связана с тем, что внешнее хранилище на уровне пользователя может использоваться для сбора учетных данных других пользователей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учетным данным другого пользователя и завладеть его учетной записью.
Затрагиваемое ПО и версии
РЕД ОС (7.3)Nextcloud Enterprise Server (от 21.0.0 до 21.0.9.12)Nextcloud Enterprise Server (от 22.0.0 до 22.2.10.12)Nextcloud Enterprise Server (от 23.0.0 до 23.0.12.7)Nextcloud Enterprise Server (от 24.0.0 до 24.0.12.2)Nextcloud Enterprise Server (от 25.0.0 до 25.0.7)Nextcloud Enterprise Server (от 26.0.0 до 26.0.2)Nextcloud Server (от 25.0.0 до 25.0.7)Nextcloud Server (от 26.0.0 до 26.0.2)Nextcloud Enterprise Server (от 19.0.0 до 19.0.13.9)Nextcloud Enterprise Server (от 20.0.0 до 20.0.14.14)
Способ устранения
Использование рекомендаций:
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Nextcloud server:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-35928
https://github.com/nextcloud/server/pull/38265
Оценка CVSS
| Балл | 8.3 — высокая опасность |
Источники и патчи