Vulnerabilidad en Nextcloud (CVE-2023-45151)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
16/10/2023
Última modificación:
20/10/2023
Descripción
El servidor Nextcloud es una plataforma de nube doméstica de código abierto. Las versiones afectadas de Nextcloud almacenaron tokens OAuth2 en texto plano, lo que permite a un atacante que haya obtenido acceso al servidor elevar potencialmente sus privilegios. Este problema se solucionó y se recomienda a los usuarios actualizar su servidor Nextcloud a la versión 25.0.8, 26.0.3 o 27.0.1. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 25.0.0 (incluyendo) | 25.0.8 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 25.0.0 (incluyendo) | 25.0.8 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 26.0.0 (incluyendo) | 26.0.3 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 26.0.0 (incluyendo) | 26.0.3 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:27.0.0:*:*:*:-:*:*:* | ||
cpe:2.3:a:nextcloud:nextcloud_server:27.0.0:*:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página