Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nextcloud Server (CVE-2023-49791)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
22/12/2023
Última modificación:
03/01/2024

Descripción

Nextcloud Server proporciona almacenamiento de datos para Nextcloud, una plataforma en la nube de código abierto. En Nextcloud Server anteriores a las versiones 26.0.9 y 27.1.4; así como Nextcloud Enterprise Server anteriores a las versiones 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 y 27.1.4; Cuando un atacante logra acceder a una sesión activa de otro usuario de otra manera, podría eliminar y modificar los workflows enviando llamadas directamente a la API sin pasar por la confirmación de contraseña que se muestra en la interfaz de usuario. Las versiones 26.0.9 y 27.1.4 de Nextcloud Server y las versiones 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9 y 27.1.4 de Nextcloud Enterprise Server contienen un parche para este problema. No hay workarounds disponibles.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 23.0.0 (incluyendo) 23.0.12.13 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 24.0.0 (incluyendo) 24.0.12.9 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 25.0.0 (incluyendo) 25.0.13.4 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* 26.0.0 (incluyendo) 26.0.9 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 26.0.0 (incluyendo) 26.0.9 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* 27.0.0 (incluyendo) 27.1.4 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 27.0.0 (incluyendo) 27.1.4 (excluyendo)