[Warning] Kritische Sicherheitslücke in Nextcloud und Nextcloud Enterprise - Updates verfügbar

[Robert Waldner]

03. April 2023


Beschreibung

Das Software-Paket Nextcloud enthält eine kritische Sicherheitslücke.

CVE-Nummer(n): CVE-2023-26482
CVSS Base Score: 9.0


Auswirkungen

Durch Ausnutzen fehlender Scope Validation ist es angemeldeten Nutzer:innen möglich, beliebigen Code in verwundbaren Installationen von 
Nextcloud auszuführen. Dadurch sind alle in diesen Instanzen gespeicherten Daten gefährdet.

Es sind auch Szenarien denkbar, in denen Schadsoftware auf betroffenen Systemen hinterlegt wird, die dann auch andere Nutzer:innen betrifft.


Betroffene Systeme

Systeme auf denen folgende Software installiert ist:
     * Nextcloud 24 unterhalb 24.0.10
     * Nextcloud 25 unterhalb 25.0.4
     * Nextcloud Enterprise unterhalb 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10, 25.0.4


Abhilfe

Installation der bereitgestellten Updates.

Sollte dies nicht möglich sein, kann laut Nextcloud auch ein Deaktivieren der Apps workflow_scripts und workflow_pdf_converter ein Ausnutzen der 
Lücke verhindern.


Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige 
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

Security Advisory von Nextcloud (englisch):
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpj

Meldung bei heise Security:
https://heise.de/-8515005

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230403/1a03b0c8/attachment.sig>