Risque(s)
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
Systèmes affectés
- Nextcloud Server versions 25.0.x antérieures à 25.0.9
- Nextcloud Server versions 26.0.x antérieures à 26.0.4
- Nextcloud Server versions 27.0.x antérieures à 27.0.1
- Nextcloud Enterprise Server versions 19.0.x antérieures à 19.0.13.10
- Nextcloud Enterprise Server versions 20.0.x antérieures à 20.0.14.15
- Nextcloud Enterprise Server versions 21.0.x antérieures à 21.0.9.13
- Nextcloud Enterprise Server versions 22.0.x antérieures à 22.2.10.14
- Nextcloud Enterprise Server versions 23.0.x antérieures à 23.0.12.9
- Nextcloud Enterprise Server versions 24.0.x antérieures à 24.0.12.5
- Nextcloud Enterprise Server versions 25.0.x antérieures à 25.0.9
- Nextcloud Enterprise Server versions 26.0.x antérieures à 26.0.4
- Nextcloud Enterprise Server versions 27.0.x antérieures à 27.0.1
- Nextcloud Talk Android versions antérieures à 17.0.0
- Nextcloud Notes versions antérieures à to 4.8.0
- Application user_oidc app versions antérieures à 1.3.3
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Nextcloud GHSA-j4qm-5q5x-54m5 du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-j4qm-5q5x-54m5 - Bulletin de sécurité Nextcloud GHSA-qhgm-w4gx-gvgp du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-qhgm-w4gx-gvgp - Bulletin de sécurité Nextcloud GHSA-g97r-8ffm-hfpj du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-g97r-8ffm-hfpj - Bulletin de sécurité Nextcloud GHSA-vv27-g2hq-v48h du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-vv27-g2hq-v48h - Bulletin de sécurité Nextcloud GHSA-36f7-93f3-mcfj du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-36f7-93f3-mcfj - Bulletin de sécurité Nextcloud GHSA-6g88-37x7-4vw6 du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-6g88-37x7-4vw6 - Bulletin de sécurité Nextcloud GHSA-xwxx-2752-w3xm du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xwxx-2752-w3xm - Bulletin de sécurité Nextcloud GHSA-xx3h-v363-q36j du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xx3h-v363-q36j - Bulletin de sécurité Nextcloud GHSA-3f92-5c8p-f6gq du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-3f92-5c8p-f6gq - Bulletin de sécurité Nextcloud GHSA-cq8w-v4fh-4rjq du 10 août 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-cq8w-v4fh-4rjq - Référence CVE CVE-2023-39963
https://www.cve.org/CVERecord?id=CVE-2023-39963 - Référence CVE CVE-2023-39961
https://www.cve.org/CVERecord?id=CVE-2023-39961 - Référence CVE CVE-2023-39959
https://www.cve.org/CVERecord?id=CVE-2023-39959 - Référence CVE CVE-2023-39958
https://www.cve.org/CVERecord?id=CVE-2023-39958 - Référence CVE CVE-2023-39957
https://www.cve.org/CVERecord?id=CVE-2023-39957 - Référence CVE CVE-2023-39955
https://www.cve.org/CVERecord?id=CVE-2023-39955 - Référence CVE CVE-2023-39962
https://www.cve.org/CVERecord?id=CVE-2023-39962 - Référence CVE CVE-2023-39953
https://www.cve.org/CVERecord?id=CVE-2023-39953 - Référence CVE CVE-2023-39954
https://www.cve.org/CVERecord?id=CVE-2023-39954 - Référence CVE CVE-2023-39952
https://www.cve.org/CVERecord?id=CVE-2023-39952
