Cleartext Transmission of Sensitive Information in user_oidc 漏洞信息(CVE-2022-39339)

一、漏洞 CVE-2022-39339 基础信息

漏洞标题

清除文本传输在用户_oidc中的敏感信息

来源：AIGC 神龙大模型

漏洞描述信息

在user_oidc中明文传输敏感信息

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Cleartext Transmission of Sensitive Information in user_oidc

来源：美国国家漏洞数据库 NVD

漏洞描述信息

user_oidc is an OpenID Connect user backend for Nextcloud. In versions prior to 1.2.1 sensitive information such as the OIDC client credentials and tokens are sent in plain text of HTTP without TLS. Any malicious actor with access to monitor user traffic may have been able to compromise account security. This issue has been addressed in in user_oidc v1.2.1. Users are advised to upgrade. Users unable to upgrade may use https to access Nextcloud. Set an HTTPS discovery URL in the provider settings (in Nextcloud OIDC admin settings).

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

敏感数据的明文传输

来源：美国国家漏洞数据库 NVD

漏洞标题

Nextcloud 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台。 Nextcloud user_oidc 1.2.1之前版本存在安全漏洞，该漏洞源于OIDC客户端凭证和令牌等敏感信息是在没有TLS的情况下以HTTP的纯文本形式发送，任何有权限监控用户流量的恶意行为者都有可能破坏账户安全。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-39339 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2022-39339 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-39339 的公开POC

三、漏洞 CVE-2022-39339 的情报信息

一、漏洞 CVE-2022-39339 基础信息