BDU:2026-03379

Опубликовано: 05 дек. 2025

Источник: fstec

CVSS3: 5.4

CVSS2: 5.5

EPSS Низкий

Описание

Уязвимость приложения Nextcloud Contacts облачного программного обеспечения для создания и использования хранилища данных Nextcloud связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность и целостность защищаемой информации

Вендор

ООО «Ред Софт»

Nextcloud GmbH

Наименование ПО

РЕД ОС

Contacts

Версия ПО

8.0 (РЕД ОС)

от 5.0.0 до 5.5.4 (Contacts)

от 6.0.0 до 6.0.6 (Contacts)

от 7.0.0 до 7.2.5 (Contacts)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,4)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Nextcloud Calendar:

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-9v78-cpfc-v6h2

Для Ред ОС: http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-66554
CVE

EPSS

Процентиль: 8%

0.00027

Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

ROS-20260129-73-0050

CVSS3: 5.4

redos

2 месяца назад

Уязвимость nextcloud-app-contacts

CVE-2025-66554

CVSS3: 3.5

nvd

4 месяца назад

Contacts app for Nextcloud easily syncs contacts from various devices with your Nextcloud and allows editing. Prior to 5.5.4, 6.0.6, and 7.2.5, a malicious user was able to modify their organisation and title field to load additional CSS files. Javascript and other options were correctly blocked by the content security policy of the Nextcloud Server code. This vulnerability is fixed in 5.5.4, 6.0.6, and 7.2.5.