S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 mai 2026
N° CERTFR-2026-AVI-0569
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Nextcloud

Gestion du document

Référence CERTFR-2026-AVI-0569
Titre Multiples vulnérabilités dans les produits Nextcloud
Date de la première version12 mai 2026
Date de la dernière version12 mai 2026
Source(s) Bulletin de sécurité Nextcloud GHSA-2w7v-5299-3hw5 du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-35fx-69q6-xpjr du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-45pj-p7x7-4mhc du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-79xf-ffj8-96fm du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-8mpv-ggq8-hf3w du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-p3qw-7gwx-wg24 du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-qqgv-fqwp-mjpp du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-r3xh-x86g-hw4m du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-r697-74m9-gvf2 du 12 mai 2026
Bulletin de sécurité Nextcloud GHSA-xpgv-grf9-gm7x du 12 mai 2026

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Non spécifié par l'éditeur

Systèmes affectés

  • Android Files versions 33.x antérieures à 33.1.0
  • Calendar versions 6.2.x antérieures à 6.2.3
  • Calendar versions postérieures ou égales à 5.5.13 et antérieures à 5.5.17
  • Collectives app versions antérieures à 4.3.0
  • End-to-End Encryption versions 1.15.x antérieures à 1.15.4
  • End-to-End Encryption versions 1.16.x antérieures à 1.16.3
  • End-to-End Encryption versions 1.17.x antérieures à 1.17.1
  • End-to-End Encryption versions 1.18.x antérieures à 1.18.1
  • Nextcloud Enterprise Server versions 26.0.x antérieures à 26.0.13.26
  • Nextcloud Enterprise Server versions 27.0.x antérieures à 27.1.11.5
  • Nextcloud Enterprise Server versions 28.0.x antérieures à 28.0.14.17
  • Nextcloud Enterprise Server versions 29.0.x antérieures à 29.0.16.16
  • Nextcloud Enterprise Server versions 30.0.x antérieures à 30.0.17.9
  • Nextcloud Enterprise Server versions 31.0.x antérieures à 31.0.14.5
  • Nextcloud Enterprise Server versions 32.0.x antérieures à 32.0.9
  • Nextcloud Enterprise Server versions 33.0.x antérieures à 33.0.3
  • Nextcloud Server versions 32.0.x antérieures à 32.0.9
  • Nextcloud Server versions 33.0.x antérieures à 33.0.3
  • User OIDC versions postérieures ou égales à 0.3.0 et antérieures à 8.4.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Nextcloud. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une atteinte à l'intégrité des données et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 mai 2026
    Version initiale