Vulnerabilidad en Nextcloud Server y Nextcloud Enterprise Server (CVE-2022-39330)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
27/10/2022
Última modificación:
01/11/2022
Descripción
Nextcloud Server es el software de servidor de archivos para Nextcloud, una plataforma de productividad autohospedada. Nextcloud Server anterior a las versiones 23.0.10 y 24.0.6 y Nextcloud Enterprise Server anterior a las versiones 22.2.10, 23.0.10 y 24.0.6 son vulnerables a que un atacante que haya iniciado sesión ralentice el sistema generando una gran cantidad de bases de datos/ carga de la CPU. Las versiones 23.0.10 y 24.0.6 de Nextcloud Server y las versiones 22.2.10, 23.0.10 y 24.0.6 de Nextcloud Enterprise Server contienen parches para este problema. Como workaround, desactive la aplicación Circles.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* | 22.2.10 (excluyendo) | |
| cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* | 23.0.0 (incluyendo) | 23.0.10 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* | 24.0.0 (incluyendo) | 24.0.6 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* | 23.0.10 (excluyendo) | |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* | 24.0.0 (incluyendo) | 24.0.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página