Vulnerabilidad en Nextcloud Server (CVE-2025-47794)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
16/05/2025
Última modificación:
30/09/2025
Descripción
Nextcloud Server es un sistema de nube personal autoalojado. En Nextcloud Server anteriores a las versiones 29.0.13, 30.0.7 y 31.0.1, y en Nextcloud Enterprise Server anteriores a las versiones 26.0.13.13, 27.1.11.13, 28.0.14.4, 29.0.13, 30.0.7 y 31.0.1, un atacante en un sistema multiusuario podría leer archivos temporales de Nextcloud con una cuenta de usuario diferente o ejecutar un ataque de enlace simbólico. Las versiones 29.0.13, 30.0.7 y 31.0.1 de Nextcloud Server y las versiones 26.0.13.13, 27.1.11.13, 28.0.14.4, 29.0.13, 30.0.7 y 31.0.1 de Nextcloud Server solucionan el problema. No se conocen workarounds disponibles.
Impacto
Puntuación base 3.x
2.60
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 26.0.0 (incluyendo) | 26.0.13.13 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 27.0.0 (incluyendo) | 27.1.11.13 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 28.0.0 (incluyendo) | 28.0.14.4 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 29.0.0 (incluyendo) | 29.0.13 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 29.0.0 (incluyendo) | 29.0.13 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 30.0.0 (incluyendo) | 30.0.7 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 30.0.0 (incluyendo) | 30.0.7 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 31.0.0 (incluyendo) | 31.0.1 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 31.0.0 (incluyendo) | 31.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página