漏洞标题
端到端加密设备设置未验证公钥
漏洞描述信息
Nextcloud桌面客户端是一种工具,用于将文件从Nextcloud服务器同步到计算机。使用Nextcloud端到端加密功能的客户端通过API端点下载公钥和私钥。在3.3.0版本之前,Nextcloud桌面客户端未能检查私钥是否属于先前下载的公钥证书。如果Nextcloud实例提供恶意公钥,数据将使用该密钥加密,因此可能被恶意行为者访问。此问题已在Nextcloud桌面客户端版本3.3.0中修复。除了升级之外,没有已知的缓解措施。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H
漏洞类别
N/A
漏洞标题
End-to-end encryption device setup did not verify public key
漏洞描述信息
The Nextcloud Desktop Client is a tool to synchronize files from Nextcloud Server with a computer. Clients using the Nextcloud end-to-end encryption feature download the public and private key via an API endpoint. In versions prior to 3.3.0, the Nextcloud Desktop client fails to check if a private key belongs to previously downloaded public certificate. If the Nextcloud instance serves a malicious public key, the data would be encrypted for this key and thus could be accessible to a malicious actor. This issue is fixed in Nextcloud Desktop Client version 3.3.0. There are no known workarounds aside from upgrading.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
证书验证不恰当
漏洞标题
Nextcloud Desktop Client 信任管理问题漏洞
漏洞描述信息
Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台。Nextcloud Desktop Client是一款用于Nextcloud的桌面客户端应用程序。 Nextcloud 桌面客户端3.3.0之前版本存在安全漏洞,该漏洞源于软件无法检查用户提供私钥是否属于以前下载的公共证书。Nextcloud桌面客户端是一个从Nextcloud服务器同步文件到计算机的工具。使用Nextcloud端到端加密功能的客户端通过API端点下载公钥和私钥。在3.3.0之前的版本中,Next
CVSS信息
N/A
漏洞类别
信任管理问题