Описание
Множественные уязвимости nextcloud
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета Nextcloud Server или Установить обновление для пакета(ов) Nextcloud Server
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
27.06.2024
CVE-2024-37887
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость компонента Calendar облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с неправильным контролем доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации
3.5 Low
CVSS3
4 Medium
CVSS2
CVE-2024-37315
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость функции files_versions() облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с восстановлением более старых версий документа, если приложение files_versions включено. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации
3.5 Low
CVSS3
4 Medium
CVSS2
CVE-2024-37884
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость компонента Delete облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана отправкой запросов на удаление старых версий файлов, которые были могли быть получены только с правами на чтение. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, влиять на целостность системы
3.5 Low
CVSS3
4 Medium
CVSS2
CVE-2024-37882
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость компонента Share облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана отправкой запросов на удаление старых версий файлов, которые были могли быть получены только с правами на чтение. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, влиять на целостность системы
8.1 High
CVSS3
8.5 High
CVSS2
CVE-2024-37313
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость компонента 2FA облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана неправильной аутентификацией. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти аутентификацию после успешного предоставления учетных данных пользователя
7.3 High
CVSS3
7.5 High
CVSS2
CVE-2024-22403
Идентификатор БДУ ФСТЭК России:
BDU:2024-00723Описание уязвимости:
Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, обойти процесс аутентификации
3 Low
CVSS3
2.1 Low
CVSS2
CVE-2023-49791
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с получением доступа к активному сеансу другого пользователя, отправляя вызовы непосредственно в API, минуя подтверждение пароля. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, обойти процесс аутентификации
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2023-49792
Идентификатор БДУ ФСТЭК России:
BDU:2024-00708Описание уязвимости:
Уязвимость облачного программного обеспечения для создания и использования хранилища данных Nextcloud Server связана с отсутствием ограничений попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процесс аутентификации
9.8 Critical
CVSS3
10 Critical
CVSS2