BDU:2026-03384

Опубликовано: 05 дек. 2025

Источник: fstec

CVSS3: 4.9

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server и Nextcloud Enterprise Server связана с недостатками разграничения доступа к личной информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к учетным записям пользователям

Вендор

ООО «Ред Софт»

Nextcloud GmbH

Наименование ПО

РЕД ОС

Nextcloud Server

Nextcloud Enterprise Server

Версия ПО

8.0 (РЕД ОС)

до 31.0.10 (Nextcloud Server)

до 32.0.1 (Nextcloud Server)

до 28.0.14.11 (Nextcloud Enterprise Server)

до 29.0.16.8 (Nextcloud Enterprise Server)

до 30.0.17.3 (Nextcloud Enterprise Server)

до 31.0.10 (Nextcloud Enterprise Server)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,9)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Nextcloud Server и Nextcloud Enterprise Server:

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-495w-cqv6-wr59

Для Ред ОС: http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-66510
CVE

EPSS

Процентиль: 10%

0.00033

Низкий

4.9 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ROS-20260129-73-0046

CVSS3: 4.9

redos

около 2 месяцев назад

Уязвимость nextcloud

CVE-2025-66510

CVSS3: 4.5

nvd

4 месяца назад

Nextcloud Server is a self hosted personal cloud system. In Nextcloud Server prior to 31.0.10 and 32.0.1 and Nextcloud Enterprise Server prior to 28.0.14.11, 29.0.16.8, 30.0.17.3, and 31.0.10, contacts search allowed to retrieve personal data of other users (emails, names, identifiers) without proper access control. This allows an authenticated user to retrieve information about accounts that are not related or added as contacts.