一、 漏洞 CVE-2024-52515 基础信息
漏洞标题
Nextcloud Server存在SVG文件清理不充分漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Nextcloud Server 是一种自托管的个人云系统。当管理员启用默认禁用的 SVG 预览提供程序后,恶意用户可以上传一个操纵过的 SVG 文件,该文件引用了某些路径。如果这些路径对应的文件存在,SVG 的预览将显示其他文件的内容。建议将 Nextcloud Server 升级到 27.1.10、28.0.6 或 29.0.1,将 Nextcloud 企业版 Server 升级到 24.0.12.15、25.0.13.10、26.0.13.4、27.1.10、28.0.6 或 29.0.1。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Nextcloud Server has incomplete sanitization of SVG files allows to embed other images into previews
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Nextcloud Server is a self hosted personal cloud system. After an admin enables the default-disabled SVG preview provider, a malicious user could upload a manipulated SVG file referencing paths. If the file would exist the preview of the SVG would preview the other file instead. It is recommended that the Nextcloud Server is upgraded to 27.1.10, 28.0.6 or 29.0.1 and Nextcloud Enterprise Server is upgraded to 24.0.12.15, 25.0.13.10, 26.0.13.4, 27.1.10, 28.0.6 or 29.0.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
使用不正确的解析名称或索引
来源:美国国家漏洞数据库 NVD
漏洞标题
Nextcloud 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Nextcloud是德国Nextcloud公司的一套开源的自托管文件同步和共享的通信应用平台。 Nextcloud存在安全漏洞,该漏洞源于管理员启用默认禁用的 SVG 预览提供程序后,恶意用户可以上传引用路径的操纵 SVG 文件。如果文件存在,则 SVG 的预览将改为预览其他文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52515 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-52515 的情报信息

  • 标题: Just a moment... -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Just a moment...

  • 标题: fix: Extend SVG reference check by nickvergessen · Pull Request #45340 · nextcloud/server · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    fix: Extend SVG reference check by nickvergessen · Pull Request #45340 · nextcloud/server · GitHub

  • 标题: Merge pull request #45340 from nextcloud/bugfix/noid/widen-svg-block · nextcloud/server@7e1c30f · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge pull request #45340 from nextcloud/bugfix/noid/widen-svg-block · nextcloud/server@7e1c30f · GitHub

  • 标题: Incomplete sanitization of SVG files allows to embed other images into previews · Advisory · nextcloud/security-advisories · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Incomplete sanitization of SVG files allows to embed other images into previews · Advisory · nextcloud/security-advisories · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2024-52515