Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nextcloud Server (CVE-2024-52521)

Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/11/2024
Última modificación:
23/01/2025

Descripción

Nextcloud Server es un sistema de nube personal alojado por uno mismo. Se utilizaron hashes MD5 para comprobar la unicidad de los trabajos en segundo plano. Esto aumentó las posibilidades de que un trabajo en segundo plano con argumentos se identificara erróneamente como ya existente y no se pusiera en cola para su ejecución. Al cambiar el hash a SHA256, la probabilidad se redujo considerablemente. Se recomienda que el servidor Nextcloud se actualice a 28.0.10, 29.0.7 o 30.0.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* 28.0.0 (incluyendo) 28.0.10 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 28.0.0 (incluyendo) 28.0.10 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* 29.0.0 (incluyendo) 29.0.7 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* 29.0.0 (incluyendo) 29.0.7 (excluyendo)