CVE-2023-32318

Опубликовано: 26 мая 2023

Источник: nvd

CVSS3: 7.2

CVSS3: 6.7

EPSS Низкий

Описание

Nextcloud server provides a home for data. A regression in the session handling between Nextcloud Server and the Nextcloud Text app prevented a correct destruction of the session on logout if cookies were not cleared manually. After successfully authenticating with any other account the previous session would be continued and the attacker would be authenticated as the previously logged in user. It is recommended that the Nextcloud Server is upgraded to 25.0.6 or 26.0.1.

Ссылки

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-q8c4-chpj-6v38
Vendor Advisory
https://github.com/nextcloud/text/pull/3946
Patch
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-q8c4-chpj-6v38
Vendor Advisory
https://github.com/nextcloud/text/pull/3946
Patch

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 25.0.2 (включая) до 25.0.6 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 25.0.2 (включая) до 25.0.6 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:26.0.0:*:*:*:-:*:*:*

cpe:2.3:a:nextcloud:nextcloud_server:26.0.0:*:*:*:enterprise:*:*:*

EPSS

Процентиль: 19%

0.00059

Низкий

7.2 High

CVSS3

6.7 Medium

CVSS3

Дефекты

CWE-613

Связанные уязвимости

CVE-2023-32318

CVSS3: 7.2

debian

около 2 лет назад

Nextcloud server provides a home for data. A regression in the session ...

BDU:2024-00712

CVSS3: 6.7

fstec

около 2 лет назад

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неверным сроком действия сеанса, позволяющая нарушителю перехватить сеанс пользователя

EPSS

Процентиль: 19%

0.00059

Низкий

7.2 High

CVSS3

6.7 Medium

CVSS3

Дефекты

CWE-613