BDU:2024-00712

Опубликовано: 26 мая 2023

Источник: fstec

CVSS3: 6.7

CVSS2: 6

EPSS Низкий

Описание

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю перехватить сеанс пользователя

Вендор

Nextcloud GmbH

Наименование ПО

Nextcloud Server

Версия ПО

от 25.0.2 до 25.0.6 (Nextcloud Server)

26.0.0 (Nextcloud Server)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-q8c4-chpj-6v38

https://github.com/nextcloud/text/pull/3946

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-32318
CVE

EPSS

Процентиль: 19%

0.00059

Низкий

6.7 Medium

CVSS3

6 Medium

CVSS2

Связанные уязвимости

CVE-2023-32318

CVSS3: 7.2

nvd

около 2 лет назад

Nextcloud server provides a home for data. A regression in the session handling between Nextcloud Server and the Nextcloud Text app prevented a correct destruction of the session on logout if cookies were not cleared manually. After successfully authenticating with any other account the previous session would be continued and the attacker would be authenticated as the previously logged in user. It is recommended that the Nextcloud Server is upgraded to 25.0.6 or 26.0.1.