Multiples vulnérabilités dans Nextcloud Server

Gestion du document

Référence	CERTFR-2023-AVI-1041
Titre	Multiples vulnérabilités dans Nextcloud Server
Date de la première version	18 décembre 2023
Date de la dernière version	18 décembre 2023
Source(s)	Bulletin de sécurité Nextcloud GHSA-3f8p-6qww-2prr du 18 décembre 2023 Bulletin de sécurité Nextcloud GHSA-5j2p-q736-hw98 du 18 décembre 2023
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Contournement de la politique de sécurité

Systèmes affectés

Nextcloud Server versions 26.0.x antérieures à 26.0.9
Nextcloud Server versions 27.x.x antérieures à 27.1.4
Nextcloud Server Enterprise versions 23.0.x antérieures à 23.0.12.13
Nextcloud Server Enterprise versions 24.0.x antérieures à 24.0.12.9
Nextcloud Server Enterprise versions 25.0.x antérieures à 25.0.13.4
Nextcloud Server Enterprise versions 26.0.x antérieures à 26.0.9
Nextcloud Server Enterprise versions 27.x.x antérieures à 27.1.4

Résumé

De multiples vulnérabilités ont été découvertes dans Nextcloud Server. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Nextcloud GHSA-5j2p-q736-hw98 du 18 décembre 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-5j2p-q736-hw98
Bulletin de sécurité Nextcloud GHSA-3f8p-6qww-2prr du 18 décembre 2023
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-3f8p-6qww-2prr
Référence CVE CVE-2023-49791
https://www.cve.org/CVERecord?id=CVE-2023-49791
Référence CVE CVE-2023-49792
https://www.cve.org/CVERecord?id=CVE-2023-49792

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Nextcloud Server