Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nextcloud Server, Nextcloud y Nextcloud Enterprise Server (CVE-2022-39364)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-312 Almacenamiento de información sensible en texto claro
Fecha de publicación:
27/10/2022
Última modificación:
31/10/2022

Descripción

Nextcloud Server es el software de servidor de archivos para Nextcloud, una plataforma de productividad autohospedada. En Nextcloud Server anterior a las versiones 23.0.9 y 24.0.5 y Nextcloud Enterprise Server anterior a las versiones 22.2.10.5, 23.0.9 y 24.0.5, un atacante que lea `nextcloud.log` puede obtener conocimiento de las credenciales para conectarse al servicio de SharePoint. Las versiones 23.0.9 y 24.0.5 de Nextcloud Server y las versiones 22.2.10.5, 23.0.9 y 24.0.5 de Nextcloud Enterprise Server contienen un parche para este problema. Como workaround, configure `zend.exception_ignore_args = On` como una opción en `php.ini`.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* 22.2.10.5 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* 23.0.0 (incluyendo) 23.0.9 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* 24.0.0 (incluyendo) 24.0.5 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 23.0.9 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* 24.0.0 (incluyendo) 24.0.5 (excluyendo)