Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el servidor Lookup en Nextcloud Server (CVE-2019-15623)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/02/2020
Última modificación:
29/10/2021

Descripción

Una exposición de información privada en Nextcloud Server versión 16.0.1, causa que el servidor envíe su dominio e ID de usuario hacia el Nextcloud Lookup Server sin más datos cuando el servidor Lookup está deshabilitado.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 14.0.13 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 15.0.0 (incluyendo) 15.0.9 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 16.0.0 (incluyendo) 16.0.2 (excluyendo)
cpe:2.3:a:opensuse:backports_sle:15.0:sp1:*:*:*:*:*:*
cpe:2.3:a:suse:package_hub:-:*:*:*:*:*:*:*