exploitDog

CVE-2024-52514

Опубликовано: 15 нояб. 2024

Источник: nvd

CVSS3: 4.1

CVSS3: 3.5

EPSS Низкий

Описание

Nextcloud Server is a self hosted personal cloud system. After a user received a share with some files inside being blocked by the files access control, the user would still be able to copy the intermediate folder inside Nextcloud allowing them to afterwards potentially access the blocked files depending on the user access control rules. It is recommended that the Nextcloud Server is upgraded to 27.1.9, 28.0.5 or 29.0.0 and Nextcloud Enterprise Server is upgraded to 21.0.9.18, 22.2.10.23, 23.0.12.18, 24.0.12.14, 25.0.13.9, 26.0.13.3, 27.1.9, 28.0.5 or 29.0.0.

Ссылки

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-g8pr-g25r-58xj
Vendor Advisory
https://github.com/nextcloud/server/commit/5fffbcfe8650eab75b00e8d188fbc95b0e43f3a8
Patch
https://github.com/nextcloud/server/pull/44889
Issue Tracking
https://hackerone.com/reports/2447316
Issue Tracking

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 21.0.0 (включая) до 21.0.9.18 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 22.0.0 (включая) до 22.2.10.23 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 23.0.0 (включая) до 23.0.12.18 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 24.0.0 (включая) до 24.0.12.14 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 25.0.0 (включая) до 25.0.13.9 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 26.0.0 (включая) до 26.0.13.3 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 27.0.0 (включая) до 27.1.9 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 27.0.0 (включая) до 27.1.9 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 28.0.0 (включая) до 28.0.5 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 28.0.0 (включая) до 28.0.5 (исключая)

EPSS

Процентиль: 17%

0.00054

Низкий

4.1 Medium

CVSS3

3.5 Low

CVSS3

Дефекты

CWE-284

NVD-CWE-noinfo

Связанные уязвимости

CVE-2024-52514

CVSS3: 4.1

debian

12 месяцев назад

Nextcloud Server is a self hosted personal cloud system. After a user ...

BDU:2024-10199

CVSS3: 4.1

fstec

12 месяцев назад

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server, связанная с неправильным контролем доступа, позволяющая нарушителю получить доступ к конфиденциальной информации

ROS-20231121-04

CVSS3: 5.7

redos

почти 2 года назад

Множественные уязвимости nextcloud

EPSS

Процентиль: 17%

0.00054

Низкий

4.1 Medium

CVSS3

3.5 Low

CVSS3

Дефекты

CWE-284

NVD-CWE-noinfo