漏洞标题
工作流程在API级别上不需要密码确认。
漏洞描述信息
Nextcloud 服务器为 Nextcloud 开源云平台提供数据存储。在 Nextcloud Server 26.0.9 和 27.1.4 之前,以及在 Nextcloud Enterprise Server 23.0.12.13、24.0.12.9、25.0.13.4、26.0.9 和 27.1.4 之前,当攻击者通过其他方式成功获取另一个用户的活跃会话时,他们可以删除和修改工作流程,方法是直接向 API 发送调用,绕过 UI 显示的密码确认。Nextcloud 服务器版本 26.0.9 和 27.1.4 以及 Nextcloud Enterprise Server 版本 23.0.12.13、24.0.12.9、25.0.13.4、26.0.9 和 27.1.4 包含了解决这个问题的补丁。目前没有已知的修复方案。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L
漏洞类别
认证机制不恰当
漏洞标题
Workflows do not require password confirmation on API level
漏洞描述信息
Nextcloud Server provides data storage for Nextcloud, an open source cloud platform. In Nextcloud Server prior to versions 26.0.9 and 27.1.4; as well as Nextcloud Enterprise Server prior to versions 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9, and 27.1.4; when an attacker manages to get access to an active session of another user via another way, they could delete and modify workflows by sending calls directly to the API bypassing the password confirmation shown in the UI. Nextcloud Server versions 26.0.9 and 27.1.4 and Nextcloud Enterprise Server versions 23.0.12.13, 24.0.12.9, 25.0.13.4, 26.0.9, and 27.1.4 contain a patch for this issue. No known workarounds are available.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
漏洞类别
访问控制不恰当
漏洞标题
Nextcloud 访问控制错误漏洞
漏洞描述信息
Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台。 Nextcloud Server存在访问控制错误漏洞,该漏洞源于当攻击者设法通过其他方式访问另一个用户的活动会话时,可以通过绕过直接向API发送调用来删除和修改工作流程。
CVSS信息
N/A
漏洞类别
授权问题