Vulnerabilidad en una comprobación de credenciales o IP en Nextcloud Richdocuments (CVE-2021-32748)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/07/2021
Última modificación:
09/08/2021
Descripción
Nextcloud Richdocuments en una oficina online de código abierto auto alojada. Nextcloud utiliza el protocolo WOPI ("Web Application Open Platform Interface") para comunicarse con el Editor Collabora, la comunicación entre estos dos servicios no estaba protegida por una comprobación de credenciales o IP. Si bien esto no da lugar a que se acceda a datos a los que el usuario aún no tiene acceso, sí puede dar lugar a que se eluda cualquier marca de agua impuesta en los documentos, tal y como se describe en el sitio web de [Nextcloud Virtual Data Room](https://nextcloud.com/virtual-data-room/) y en [nuestra documentación](https://portal.nextcloud.com/article/nextcloud-and-virtual-data-room-configuration-59.html). Las versiones 3.8.3 y 4.2.0 de Nextcloud Richdocuments añaden una configuración administrativa adicional para una lista de direcciones IP que pueden acceder a la API WOPI. Se recomienda actualizar y configurar la lista de direcciones permitidas a una lista de servidores Collabora. No hay ninguna solución conocida. Tenga en cuenta que esto resulta principalmente en una derivación de cualquier marca de agua configurada o protección de descarga utilizando el Control de Acceso a Archivos. Si usted no requiere o depende de estas características de seguridad, no se requiere ninguna acción inmediata por su parte
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nextcloud:richdocuments:*:*:*:*:*:*:*:* | 3.8.3 (excluyendo) | |
| cpe:2.3:a:nextcloud:richdocuments:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página