正文

Nextcloud未授权访问漏洞

admin
admin V管理员 /0 评论 /26 阅读
0425
此篇文章发布距今已超过1144天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2016-9464

利用情况

暂无

补丁情况

N/A

披露时间

2017-03-28
漏洞描述
Nextcloud是一套开源的自托管文件同步和共享的通信应用平台。
Nextcloud存在未授权访问漏洞。攻击者可利用该漏洞绕过某些安全限制并获取敏感信息,导致进一步攻击。
解决建议
用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://nextcloud.com/security/advisory/?id=nc-sa-2016-007
参考链接
http://www.securityfocus.com/bid/97287
https://github.com/nextcloud/server/commit/3387e5d00fcf6b2ea6b285a091e5743f545e7202
https://github.com/nextcloud/server/commit/7289cb5ec0b812992ab0dfb889744b94bc0994f0
https://github.com/nextcloud/server/commit/a5471b4a3e3f30e99e4de39c97c0c3b3c2f1618f
https://github.com/nextcloud/server/commit/e2c4f4f9aa11bc92e8f2212cce73841b922187e8
https://hackerone.com/reports/153905
https://nextcloud.com/security/advisory/?id=nc-sa-2016-007
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 nextcloud nextcloud_server * Up to
(excluding)
9.0.54
运行在以下环境
应用 nextcloud nextcloud_server 10.0 -
CVSS3评分 4.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 无
  • 保密性 无
  • 完整性 低
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N CWE-ID 漏洞类型 CWE-285 授权机制不恰当