Vulnerabilidad en Nextcloud Server (CVE-2024-52525)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
15/11/2024
Última modificación:
23/01/2025
Descripción
Nextcloud Server es un sistema de nube personal alojado por el usuario. En determinadas circunstancias, la contraseña de un usuario se almacenaba sin cifrar en los datos de la sesión. Los datos de la sesión se cifran antes de guardarse en el almacenamiento de la sesión (Redis o disco), pero esto permitiría que un proceso malicioso que obtenga acceso a la memoria del proceso PHP obtenga acceso a la contraseña en texto plano del usuario. Se recomienda actualizar Nextcloud Server a 28.0.12, 29.0.9 o 30.0.2.
Impacto
Puntuación base 3.x
1.80
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 28.0.0 (incluyendo) | 28.0.12 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 28.0.0 (incluyendo) | 28.0.12 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 29.0.0 (incluyendo) | 29.0.9 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 29.0.0 (incluyendo) | 29.0.9 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 30.0.0 (incluyendo) | 30.0.2 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 30.0.0 (incluyendo) | 30.0.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página