2018-1582: NextCloud: Zwei Schwachstellen ermöglichen Stored Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2018-08-13 16:22)

Neues Advisory

Version 2 (2018-08-27 12:02)

Für openSUSE Leap 15.0 und 42.3 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für 'nextcloud' bereit, mit denen die Software auf Version 13.0.5 aktualisiert wird. Damit wird CVE-2018-3780 behoben.

Version 3 (2018-09-24 13:07)

Für openSUSE Backports SLE 15 steht ein Sicherheitsupdate für das Paket 'nextcloud' auf Version 13.0.5 bereit, welches die Schwachstelle CVE-2018-3780 adressiert.

Version 4 (2018-12-07 17:21)

Für openSUSE Leap 42.3, openSUSE Leap 15.0, openSUSE Backports SLE-15 sowie SUSE Package Hub for SUSE Linux Enterprise 12 werden erneut Sicherheitsupdates zur Verfügung gestellt. Über die Sicherheitsupdates wird NextCloud auf die Version 13.0.8 aktualisiert und die Schwachstelle CVE-2018-3780 behoben.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Nextcloud Server sowie Nextcloud Talk ermöglichen einem entfernten, einfach authentisierten Angreifer die Durchführung von Stored Cross-Site-Scripting (XSS)-Angriffen.

Der Hersteller stellt die Nextcloud Server Version 13.0.5 zur Behebung der betreffenden Schwachstelle zur Verfügung. Für die App 'Talk' steht die Version 3.2.5 zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2018-3780

Schwachstelle in Nextcloud Server ermöglicht Stored Cross-Site-Scripting-Angriff

CVE-2018-3781

Schwachstelle in Nextcloud Talk ermöglicht Stored Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.