nextcloud server访问控制不当漏洞(CVE-2023-39962)

admin

0
文章

0
评论

2023-11-29 21:27:29 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

nextcloud server访问控制不当漏洞(CVE-2023-39962)

CVE编号

CVE-2023-39962

利用情况

暂无

补丁情况

N/A

披露时间

2023-08-11

漏洞描述

Nextcloud Server 提供 Nextcloud 的数据存储，是一个开源的云平台。在版本 19.0.0 至版本 19.0.13.10、20.0.14.15、21.0.9.13、22.2.10.14、23.0.12.8、24.0.12.5、25.0.9、26.0.4 和 27.0.1 之前，恶意用户可以删除个人或全局的外部存储，这样其他人将无法访问。Nextcloud server 版本 25.0.9、26.0.4 和 27.0.1，以及 Nextcloud Enterprise Server 版本 19.0.13.10、20.0.14.15、21.0.9.13、22.2.10.14、23.0.12.9、24.0.12.5、25.0.9、26.0.4 和 27.0.1 中已通过修补程序解决此问题。解决办法是禁用应用程序 files_external。这也将使外部存储不可访问，但保留配置，直到部署补丁版本。

解决建议

"将组件 nextcloud_server 升级至 20.0.14.15 及以上版本""将组件 nextcloud_server 升级至 19.0.13.10 及以上版本""将组件 nextcloud_server 升级至 26.0.4 及以上版本""将组件 nextcloud_server 升级至 25.0.9 及以上版本""将组件 nextcloud_server 升级至 22.2.10.14 及以上版本""将组件 nextcloud_server 升级至 23.0.12.9 及以上版本""将组件 nextcloud_server 升级至 24.0.12.5 及以上版本""将组件 nextcloud_server 升级至 21.0.9.13 及以上版本"

参考链接
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xwx...
https://github.com/nextcloud/server/pull/39323
https://hackerone.com/reports/2047168

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 19.0.0	Up to (excluding) 19.0.13.10
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 20.0.0	Up to (excluding) 20.0.14.15
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 21.0.0	Up to (excluding) 21.0.9.13
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 22.0.0	Up to (excluding) 22.2.10.14
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 23.0.0	Up to (excluding) 23.0.12.9
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 24.0.0	Up to (excluding) 24.0.12.5
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 25.0.0	Up to (excluding) 25.0.9
	运行在以下环境
	应用	nextcloud	nextcloud_server	*	From (including) 26.0.0	Up to (excluding) 26.0.4
	运行在以下环境
	应用	nextcloud	nextcloud_server	27.0.0	-