Vulnerabilidad en Nextcloud Desktop Client (CVE-2022-41882)

Nextcloud Desktop Client es una herramienta para sincronizar archivos desde Nextcloud Server con su computadora. En la versión 3.6.0, si un usuario recibe un archivo compartido malicioso y lo sincroniza localmente o habilita el sistema de archivos virtual y hace clic en un enlace nc://open/, se abrirá el editor predeterminado para el tipo de archivo compartido, que En Windows, a veces también puede significar que se está ejecutando un archivo según el tipo, p. ej. "vbs". Se recomienda actualizar el cliente de escritorio Nextcloud a la versión 3.6.1. Como workaround, los usuarios pueden bloquear el cliente de escritorio Nextcloud 3.6.0 configurando la configuración del sistema `minimum.supported.desktop.version` en `3.6.1` en el servidor, de modo que no se descarguen nuevos archivos diseñados para dejar de utilizar este vector de ataque. Los archivos ya existentes aún se pueden utilizar. Otra solución sería obligar a que se acepten recursos compartidos configurando la configuración del sistema `sharing.force_share_accept` en `true` en el servidor, de modo que los archivos nuevos diseñados para usar este vector de ataque ya no se descarguen. Todavía se puede abusar de las acciones ya existentes.