CVE-2024-52525

Опубликовано: 15 нояб. 2024

Источник: nvd

CVSS3: 1.8

CVSS3: 7.5

EPSS Низкий

Описание

Nextcloud Server is a self hosted personal cloud system. Under certain conditions the password of a user was stored unencrypted in the session data. The session data is encrypted before being saved in the session storage (Redis or disk), but it would allow a malicious process that gains access to the memory of the PHP process, to get access to the cleartext password of the user. It is recommended that the Nextcloud Server is upgraded to 28.0.12, 29.0.9 or 30.0.2.

Ссылки

https://github.com/nextcloud/security-advisories/security/advisories/GHSA-w7v5-mgxm-v6gm
Vendor Advisory
https://github.com/nextcloud/server/commit/d25a0a2896a2a981939cacb8ee0d555feef22b3b
Patch
https://github.com/nextcloud/server/pull/48915
Issue Tracking

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 28.0.0 (включая) до 28.0.12 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 28.0.0 (включая) до 28.0.12 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 29.0.0 (включая) до 29.0.9 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 29.0.0 (включая) до 29.0.9 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:*

Версия от 30.0.0 (включая) до 30.0.2 (исключая)

cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:*

Версия от 30.0.0 (включая) до 30.0.2 (исключая)

EPSS

Процентиль: 9%

0.00036

Низкий

1.8 Low

CVSS3

7.5 High

CVSS3

Дефекты

CWE-312

Связанные уязвимости

CVE-2024-52525

CVSS3: 1.8

debian

7 месяцев назад

Nextcloud Server is a self hosted personal cloud system. Under certain ...

BDU:2024-10840

CVSS3: 1.8

fstec

8 месяцев назад

Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server и Nextcloud Enterprise Server, связанная с хранением защищаемой информации в незашифрованном виде, позволяющая нарушителю получить доступ к конфиденциальной информации

ROS-20241203-08

CVSS3: 5.7

redos

7 месяцев назад

Множественные уязвимости nextcloud

EPSS

Процентиль: 9%

0.00036

Низкий

1.8 Low

CVSS3

7.5 High

CVSS3

Дефекты

CWE-312