Kritische Sicherheitslücke in Nextcloud und Nextcloud Enterprise - Updates verfügbar
03. April 2023
Beschreibung
Das Software-Paket Nextcloud enthält eine kritische Sicherheitslücke.
CVE-Nummer(n): CVE-2023-26482
CVSS Base Score: 9.0
Auswirkungen
Durch Ausnutzen fehlender Scope Validation ist es angemeldeten Nutzer:innen möglich, beliebigen Code in verwundbaren Installationen von Nextcloud auszuführen. Dadurch sind alle in diesen Instanzen gespeicherten Daten gefährdet.
Es sind auch Szenarien denkbar, in denen Schadsoftware auf betroffenen Systemen hinterlegt wird, die dann auch andere Nutzer:innen betrifft.
Betroffene Systeme
Systeme auf denen folgende Software installiert ist:
- Nextcloud 24 unterhalb 24.0.10
- Nextcloud 25 unterhalb 25.0.4
- Nextcloud Enterprise unterhalb 20.0.14.12, 21.0.9.10, 22.2.10.10, 23.0.12.5, 24.0.10, 25.0.4
Abhilfe
Installation der bereitgestellten Updates.
Sollte dies nicht möglich sein, kann laut Nextcloud auch ein Deaktivieren der Apps workflow_scripts und workflow_pdf_converter ein Ausnutzen der Lücke verhindern.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Security Advisory von Nextcloud (englisch):
https://github.com/nextcloud/security-advisories/security/advisories/GHSA-h3c9-cmh8-7qpj
Meldung bei heise Security: