CVE-2023-48301

Опубликовано: 21 нояб. 2023

Источник: nvd

CVSS3: 3.5

CVSS3: 5.4

EPSS Низкий

Описание

Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. Starting in version 25.0.0 and prior to versions 25.0.13, 26.0.8, and 27.1.3 of Nextcloud Server and Nextcloud Enterprise Server, an attacker could insert links into circles name that would be opened when clicking the circle name in a search filter. Nextcloud Server and Nextcloud Enterprise Server versions 25.0.13, 26.0.8, and 27.1.3 contain a fix for this issue. As a workaround, disable app circles.

Ссылки

https://github.com/nextcloud/circles/pull/1415
Patch
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-wgpw-qqq2-gwv6
Vendor Advisory
https://hackerone.com/reports/2210038
Exploit
Third Party Advisory
https://github.com/nextcloud/circles/pull/1415
Patch
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-wgpw-qqq2-gwv6
Vendor Advisory
https://hackerone.com/reports/2210038
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 25.0.0 (включая) до 25.0.13 (включая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 25.0.0 (включая) до 25.0.13 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 26.0.0 (включая) до 26.0.8 (включая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 26.0.0 (включая) до 26.0.8 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 27.0.0 (включая) до 27.1.3 (включая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 27.0.0 (включая) до 27.1.3 (исключая)

EPSS

Процентиль: 55%

0.00319

Низкий

3.5 Low

CVSS3

5.4 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

CVE-2023-48301

CVSS3: 3.5

debian

больше 1 года назад

Nextcloud Server provides data storage for Nextcloud, an open source c ...

BDU:2024-02549

CVSS3: 5.4

fstec

больше 1 года назад

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неправильной нейтрализацией ввода во время создания веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)

ROS-20240402-12

CVSS3: 9.8

redos

больше 1 года назад

Множественные уязвимости nextcloud

EPSS

Процентиль: 55%

0.00319

Низкий

3.5 Low

CVSS3

5.4 Medium

CVSS3

Дефекты

CWE-79