Risque(s)
- Déni de service à distance
- Atteinte à la confidentialité des données
Systèmes affectés
- Nextcloud Server versions antérieures à 23.0.10
- Nextcloud Server versions 24.x antérieures à 24.0.6
- Nextcloud Entreprise Server versions antérieures à 23.0.10
- Nextcloud Entreprise Server versions 24.x antérieures à 24.0.5
Résumé
De multiples vulnérabilités ont été découvertes dans Nextcloud Server. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Nextcloud CVE-2022-39329 du 27 octobre 2022
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8f3p-rcm5-mrg3 - Bulletin de sécurité Nextcloud CVE-2022-39330 du 27 octobre 2022
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-wxx7-w5p4-7x4c - Référence CVE CVE-2022-39329
https://www.cve.org/CVERecord?id=CVE-2022-39329 - Référence CVE CVE-2022-39330
https://www.cve.org/CVERecord?id=CVE-2022-39330