Vulnerabilidad en Nextcloud Server (CVE-2023-39960)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/10/2023
Última modificación:
18/10/2023
Descripción
Nextcloud Server proporciona almacenamiento de datos para Nextcloud, una plataforma en la nube de código abierto. En Nextcloud Server a partir de la versión 25.0.0 y anteriores a las 25.09 y 26.04; así como Nextcloud Enterprise Server a partir de la versión 22.0.0 y anteriores a las 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9 y 26.0.4; La falta de protección permite a un atacante forzar contraseñas de fuerza bruta en la API WebDAV. Nextcloud Server versiones 25.0.9 y 26.0.4 y Nextcloud Enterprise Server versiones 22.2.10.14, 23.0.12.9, 24.0.12.5, 25.0.9 y 26.0.4 contienen parches para este problema. No se conocen workarounds disponibles.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 22.0.0 (incluyendo) | 22.2.10.14 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 23.0.0 (incluyendo) | 23.0.12.9 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 24.0.0 (incluyendo) | 24.0.12.5 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 25.0.0 (incluyendo) | 25.0.9 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 25.0.0 (incluyendo) | 25.0.9 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 26.0.0 (incluyendo) | 26.0.4 (excluyendo) |
| cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 26.0.0 (incluyendo) | 26.0.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página