Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nextcloud (CVE-2023-45151)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-312 Almacenamiento de información sensible en texto claro
Fecha de publicación:
16/10/2023
Última modificación:
20/10/2023

Descripción

El servidor Nextcloud es una plataforma de nube doméstica de código abierto. Las versiones afectadas de Nextcloud almacenaron tokens OAuth2 en texto plano, lo que permite a un atacante que haya obtenido acceso al servidor elevar potencialmente sus privilegios. Este problema se solucionó y se recomienda a los usuarios actualizar su servidor Nextcloud a la versión 25.0.8, 26.0.3 o 27.0.1. No se conocen workarounds para esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* 25.0.0 (incluyendo) 25.0.8 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 25.0.0 (incluyendo) 25.0.8 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* 26.0.0 (incluyendo) 26.0.3 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 26.0.0 (incluyendo) 26.0.3 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:27.0.0:*:*:*:-:*:*:*
cpe:2.3:a:nextcloud:nextcloud_server:27.0.0:*:*:*:enterprise:*:*:*