ГлавнаяБаза уязвимостей БДУ → BDU:2024-02546
4средняя

BDU:2024-02546

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с обходом авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-04-03
Описание

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с возможностью включать и отключать в календарь дни рождения для любого пользователя на том же сервере. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
РЕД ОС (7.3)Nextcloud Server (27.0.0)Nextcloud Server (от 25.0.0 до 25.0.11)Nextcloud Server (от 26.0.0 до 26.0.6)Nextcloud Server (от 23.0.0 до 23.0.12.11)Nextcloud Server (от 24.0.0 до 24.0.12.7)Nextcloud Server (от 22.0.0 до 22.2.10.16 включительно)
Способ устранения

Для Nextcloud Server:
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8jwv-c8c8-9fr3
https://github.com/nextcloud/server/pull/40292

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8jwv-c8c8-9fr3https://github.com/nextcloud/server/pull/40292https://hackerone.com/reports/2112973https://redos.red-soft.ru/support/secure/
Проверьте безопасность своего сайта и почты → Полная проверка домена