nextcloud server CVE-2023-39963漏洞(CVE-2023-39963)

CVE编号

CVE-2023-39963

利用情况

暂无

补丁情况

N/A

披露时间

2023-08-11

漏洞描述

Nextcloud Server是Nextcloud开源云平台的数据存储提供者。自版本20.0.0开始，在版本20.0.14.15、21.0.9.13、22.2.10.14、23.0.12.8、24.0.12.5、25.0.9、26.0.4和27.0.1之前的版本中，缺少密码确认功能，攻击者可以成功窃取用户会话后，为受害者创建应用程序密码。Nextcloud服务器版本25.0.9、26.0.4和27.0.1，以及Nextcloud企业版服务器版本20.0.14.15、21.0.9.13、22.2.10.14、23.0.12.9、24.0.12.5、25.0.9、26.0.4和27.0.1都包含了此问题的补丁。没有已知的解决方法。

解决建议

"将组件 nextcloud_server 升级至 20.0.14.15 及以上版本""将组件 nextcloud_server 升级至 26.0.4 及以上版本""将组件 nextcloud_server 升级至 25.0.9 及以上版本""将组件 nextcloud_server 升级至 22.2.10.14 及以上版本""将组件 nextcloud_server 升级至 23.0.12.9 及以上版本""将组件 nextcloud_server 升级至 24.0.12.5 及以上版本""将组件 nextcloud_server 升级至 21.0.9.13 及以上版本"

参考链接
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-j4q...
https://github.com/nextcloud/server/pull/39416
https://hackerone.com/reports/2067572

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 20.0.0	Up to (excluding) 20.0.14.15
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 21.0.0	Up to (excluding) 21.0.9.13
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 22.0.0	Up to (excluding) 22.2.10.14
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 23.0.0	Up to (excluding) 23.0.12.9
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 24.0.0	Up to (excluding) 24.0.12.5
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 25.0.0	Up to (excluding) 25.0.9
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 26.0.0	Up to (excluding) 26.0.4
	运行在以下环境
	应用	nextcloud	nextcloud_server	27.0.0	-

CVSS3评分 7.8

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 需要
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-284	访问控制不恰当
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com