Vulnerabilidad en Nextcloud Server, Nextcloud y Nextcloud Enterprise Server (CVE-2022-39364)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
27/10/2022
Última modificación:
31/10/2022
Descripción
Nextcloud Server es el software de servidor de archivos para Nextcloud, una plataforma de productividad autohospedada. En Nextcloud Server anterior a las versiones 23.0.9 y 24.0.5 y Nextcloud Enterprise Server anterior a las versiones 22.2.10.5, 23.0.9 y 24.0.5, un atacante que lea `nextcloud.log` puede obtener conocimiento de las credenciales para conectarse al servicio de SharePoint. Las versiones 23.0.9 y 24.0.5 de Nextcloud Server y las versiones 22.2.10.5, 23.0.9 y 24.0.5 de Nextcloud Enterprise Server contienen un parche para este problema. Como workaround, configure `zend.exception_ignore_args = On` como una opción en `php.ini`.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* | 22.2.10.5 (excluyendo) | |
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* | 23.0.0 (incluyendo) | 23.0.9 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_enterprise_server:*:*:*:*:*:*:*:* | 24.0.0 (incluyendo) | 24.0.5 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* | 23.0.9 (excluyendo) | |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:*:*:*:* | 24.0.0 (incluyendo) | 24.0.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página