Multiples vulnérabilités dans Nextcloud Server

Gestion du document

Référence	CERTFR-2022-AVI-961
Titre	Multiples vulnérabilités dans Nextcloud Server
Date de la première version	27 octobre 2022
Date de la dernière version	27 octobre 2022
Source(s)	Bulletin de sécurité Nextcloud CVE-2022-39329 du 27 octobre 2022 Bulletin de sécurité Nextcloud CVE-2022-39330 du 27 octobre 2022
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Déni de service à distance
Atteinte à la confidentialité des données

Systèmes affectés

Nextcloud Server versions antérieures à 23.0.10
Nextcloud Server versions 24.x antérieures à 24.0.6
Nextcloud Entreprise Server versions antérieures à 23.0.10
Nextcloud Entreprise Server versions 24.x antérieures à 24.0.5

Résumé

De multiples vulnérabilités ont été découvertes dans Nextcloud Server. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Nextcloud CVE-2022-39329 du 27 octobre 2022
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-8f3p-rcm5-mrg3
Bulletin de sécurité Nextcloud CVE-2022-39330 du 27 octobre 2022
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-wxx7-w5p4-7x4c
Référence CVE CVE-2022-39329
https://www.cve.org/CVERecord?id=CVE-2022-39329
Référence CVE CVE-2022-39330
https://www.cve.org/CVERecord?id=CVE-2022-39330

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Nextcloud Server