Vulnerabilidad en la funcionalidad audit logging de Nextcloud Server (CVE-2021-32680)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/07/2021
Última modificación:
07/11/2023
Descripción
Nextcloud Server es un paquete de Nextcloud que maneja el almacenamiento de datos. En versiones anteriores a 19.0.13, 20.0.11 y 21.0.3, la funcionalidad audit logging de Nextcloud Server no registraba apropiadamente los eventos por la anulación de la fecha de caducidad de una acción. Se supone que este evento se registra. Este problema fue corregido en versiones 19.0.13, 20.0.11 y 21.0.3
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* | 19.0.13 (excluyendo) | |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* | 20.0.0 (incluyendo) | 20.0.11 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* | 21.0.0 (incluyendo) | 21.0.3 (excluyendo) |
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-fxpq-wq7c-vppf
- https://github.com/nextcloud/server/pull/27024
- https://hackerone.com/reports/1200810
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BVZS26RDME2DYTKET5AECRIZDFUGR2AZ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/J63NBVPR2AQCAWRNDOZSGRY5II4WS2CZ/
- https://security.gentoo.org/glsa/202208-17