Уязвимость подмены содержимого в приложении Files на серверах Nextcloud и ownCloud
Описание
В приложении Files на серверах Nextcloud и ownCloud присутствует уязвимость подмены содержимого. Проблема заключается в том, что адресная строка приложения не верифицирует переданные параметры. Это позволяет злоумышленнику создать некорректную ссылку на поддельную структуру каталогов и таким образом отобразить контролируемое злоумышленником сообщение об ошибке пользователю.
Затронутые версии ПО
- Nextcloud Server версии до 9.0.52
- ownCloud Server версии до 9.0.4
Тип уязвимости
Подмена содержимого (спуфинг)
Ссылки
- Issue TrackingPatchThird Party Advisory
- Issue TrackingPatchThird Party Advisory
- Issue TrackingPatchThird Party Advisory
- Issue TrackingPatchThird Party Advisory
- ExploitThird Party Advisory
- PatchVendor Advisory
- PatchVendor Advisory
- Issue TrackingPatchThird Party Advisory
- Issue TrackingPatchThird Party Advisory
- Issue TrackingPatchThird Party Advisory
- Issue TrackingPatchThird Party Advisory
- ExploitThird Party Advisory
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Nextcloud Server before 9.0.52 & ownCloud Server before 9.0.4 are vulnerable to a content-spoofing attack in the files app. The location bar in the files app was not verifying the passed parameters. An attacker could craft an invalid link to a fake directory structure and use this to display an attacker-controlled error message to the user.
Nextcloud Server before 9.0.52 & ownCloud Server before 9.0.4 are vuln ...
Nextcloud Server before 9.0.52 & ownCloud Server before 9.0.4 are vulnerable to a content-spoofing attack in the files app. The location bar in the files app was not verifying the passed parameters. An attacker could craft an invalid link to a fake directory structure and use this to display an attacker-controlled error message to the user.
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2