Nextcloud Server 用户可以使其他用户无法访问外部存储装载点 (CVE-2023-48239)

CVE编号

CVE-2023-48239

利用情况

暂无

补丁情况

N/A

披露时间

2023-11-22

漏洞描述

Nextcloud Server提供Nextcloud开源云平台的数据存储功能。在版本25.0.0及之前的版本中，在版本25.0.13、26.0.8和27.1.3之前的Nextcloud Server，以及在版本20.0.0及之前的版本中，在20.0.14.16、21.0.9.13、22.2.10.15、23.0.12.12、24.0.12.8、25.0.13、26.0.8和27.1.3之前的Nextcloud Enterprise Server中，恶意用户可以更新任何个人或全局外部存储，导致其他人无法访问。Nextcloud Server 25.0.13、26.0.8和27.1.3以及Nextcloud Enterprise Server升级到20.0.14.16、21.0.9.13、22.2.10.15、23.0.12.12、24.0.12.8、25.0.13、26.0.8和27.1.3版本中包含了针对此问题的补丁。作为一种解决方法，禁用app files_external。这种解决方法还会使外部存储变得无法访问，但保留配置，直到部署了修补程序版本。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-f96...
https://github.com/nextcloud/server/pull/41123
https://hackerone.com/reports/2212627

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 20.0.0	Up to (excluding) 20.0.14.16
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 21.0.0	Up to (excluding) 21.0.9.13
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 22.0.0	Up to (excluding) 22.2.10.15
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 23.0.0	Up to (excluding) 23.0.12.12
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 24.0.0	Up to (excluding) 24.0.12.8
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 25.0.0	Up to (excluding) 25.0.13
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 26.0.0	Up to (excluding) 26.0.8
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 27.0.0	Up to (excluding) 27.1.3

CVSS3评分 8.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 已更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 低

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:H

CWE-ID	漏洞类型
NVD-CWE-Other

Exp相关链接

- avd.aliyun.com