Vulnerabilidad en Nextcloud Server, Nextcloud y Nextcloud Enterprise Server (CVE-2023-48305)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
21/11/2023
Última modificación:
30/11/2023
Descripción
Nextcloud Server proporciona almacenamiento de datos para Nextcloud, una plataforma en la nube de código abierto. A partir de la versión 25.0.0 y antes de las versiones 25.0.11, 26.0.6 y 27.1.0 de Nextcloud Server y Nextcloud Enterprise Server, cuando el nivel de registro se configuró para depurar, la aplicación user_ldap registró las contraseñas de los usuarios en texto plano en el archivo de registro. Si el archivo de registro se filtrara o se compartiera de alguna manera, se filtrarían las contraseñas de los usuarios. Las versiones 25.0.11, 26.0.6 y 27.1.0 de Nextcloud Server y Nextcloud Enterprise Server contienen un parche para este problema. Como workaround, cambie la configuración "loglevel" a "1" o superior (siempre debe ser superior a 1 en entornos de producción).
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 25.0.0 (incluyendo) | 25.0.11 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 25.0.0 (incluyendo) | 25.0.11 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 26.0.0 (incluyendo) | 26.0.6 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 26.0.0 (incluyendo) | 26.0.6 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 27.0.0 (incluyendo) | 27.1.0 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 27.0.0 (incluyendo) | 27.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página