Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nextcloud Server y Nextcloud Enterprise Server (CVE-2022-39330)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
27/10/2022
Última modificación:
01/11/2022

Descripción

Nextcloud Server es el software de servidor de archivos para Nextcloud, una plataforma de productividad autohospedada. Nextcloud Server anterior a las versiones 23.0.10 y 24.0.6 y Nextcloud Enterprise Server anterior a las versiones 22.2.10, 23.0.10 y 24.0.6 son vulnerables a que un atacante que haya iniciado sesión ralentice el sistema generando una gran cantidad de bases de datos/ carga de la CPU. Las versiones 23.0.10 y 24.0.6 de Nextcloud Server y las versiones 22.2.10, 23.0.10 y 24.0.6 de Nextcloud Enterprise Server contienen parches para este problema. Como workaround, desactive la aplicación Circles.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* 22.2.10 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* 23.0.0 (incluyendo) 23.0.10 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* 24.0.0 (incluyendo) 24.0.6 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 23.0.10 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 24.0.0 (incluyendo) 24.0.6 (excluyendo)