[Warning] Kritische Sicherheitslücke in Nextcloud und Nextcloud Enterprise - Updates verfügbar
Robert Waldner
waldner at cert.at
Mon Apr 3 16:14:44 CEST 2023
03. April 2023
Beschreibung
Das Software-Paket Nextcloud enthält eine kritische Sicherheitslücke.
CVE-Nummer(n): CVE-2023-26482
CVSS Base Score: 9.0
Auswirkungen
Durch Ausnutzen fehlender Scope Validation ist es angemeldeten Nutzer:innen möglich, beliebigen Code in verwundbaren Installationen von
Nextcloud auszuführen. Dadurch sind alle in diesen Instanzen gespeicherten Daten gefährdet.
Es sind auch Szenarien denkbar, in denen Schadsoftware auf betroffenen Systemen hinterlegt wird, die dann auch andere Nutzer:innen betrifft.
Betroffene Systeme
Systeme auf denen folgende Software installiert ist:
* Nextcloud 24 unterhalb 24.0.10
* Nextcloud 25 unterhalb 25.0.4
* Nextcloud Enterprise unterhalb 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10, 25.0.4
Abhilfe
Installation der bereitgestellten Updates.
Sollte dies nicht möglich sein, kann laut Nextcloud auch ein Deaktivieren der Apps workflow_scripts und workflow_pdf_converter ein Ausnutzen der
Lücke verhindern.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Security Advisory von Nextcloud (englisch):
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpj
Meldung bei heise Security:
https://heise.de/-8515005
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230403/1a03b0c8/attachment.sig>
More information about the Warning
mailing list