Vulnerabilidad en Nextcloud Server, Nextcloud y Nextcloud Enterprise Server (CVE-2023-48239)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
21/11/2023
Última modificación:
29/11/2023
Descripción
Nextcloud Server proporciona almacenamiento de datos para Nextcloud, una plataforma en la nube de código abierto. A partir de la versión 25.0.0 y anteriores a las versiones 25.0.13, 26.0.8 y 27.1.3 de Nextcloud Server y a partir de la versión 20.0.0 y anteriores a las versiones 20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0. 12.12, 24.0.12.8, 25.0.13, 26.0.8 y 27.1.3 de Nextcloud Enterprise Server, un usuario malintencionado podría actualizar cualquier almacenamiento externo personal o global, haciéndolo inaccesible para todos los demás también. Nextcloud Server 25.0.13, 26.0.8 y 27.1.3 y Nextcloud Enterprise Server se actualizan a 20.0.14.16, 21.0.9.13, 22.2.10.15, 23.0.12.12, 24.0.12.8, 25.0.13, 26.0.8 y 27.1.3 contiene un parche para este problema. Como workaround, deshabilite la aplicación files_external. Este workaround también hace que el almacenamiento externo sea inaccesible, pero conserva las configuraciones hasta que se implemente una versión parcheada.
Impacto
Puntuación base 3.x
7.10
Severidad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 20.0.0 (incluyendo) | 20.0.14.16 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 21.0.0 (incluyendo) | 21.0.9.13 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 22.0.0 (incluyendo) | 22.2.10.15 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 23.0.0 (incluyendo) | 23.0.12.12 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 24.0.0 (incluyendo) | 24.0.12.8 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 25.0.0 (incluyendo) | 25.0.13 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 25.0.0 (incluyendo) | 25.0.13 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 26.0.0 (incluyendo) | 26.0.8 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 26.0.0 (incluyendo) | 26.0.8 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:-:*:*:* | 27.0.0 (incluyendo) | 27.1.3 (excluyendo) |
cpe:2.3:a:nextcloud:nextcloud_server:*:*:*:*:enterprise:*:*:* | 27.0.0 (incluyendo) | 27.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página