BDU:2024-00710

Опубликовано: 27 мар. 2023

Источник: fstec

CVSS3: 8.1

CVSS2: 8.5

EPSS Низкий

Описание

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с неправильным назначением разрешений для файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, удалить произвольные файлы

Вендор

Nextcloud GmbH

Наименование ПО

Nextcloud Server

Версия ПО

от 24.0.0 до 24.0.9 (Nextcloud Server)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8v5c-f752-fgpv

https://github.com/nextcloud/server/pull/33941

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-25817
CVE

EPSS

Процентиль: 28%

0.00099

Низкий

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

CVE-2023-25817

CVSS3: 3.5

nvd

около 2 лет назад

Nextcloud server is an open source, personal cloud implementation. In versions from 24.0.0 and before 24.0.9 a user could escalate their permissions to delete files they were not supposed to deletable but only viewed or downloaded. This issue has been addressed andit is recommended that the Nextcloud Server is upgraded to 24.0.9. There are no known workarounds for this vulnerability.