2023-0653: Nextcloud Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-03-23 12:42)
- Neues Advisory
- Version 2 (2023-03-31 13:40)
- Der Hersteller bestätigt, dass mit den Nextcloud Server Releases 25.0.4 und 24.0.10 auch die Schwachstellen CVE-2023-26482, CVE-2023-28833 und CVE-2023-28835 behoben werden, welche ein Angreifer mit niedrigen Privilegien aus der Ferne ausnutzen kann, um beliebigen Programmcode auszuführen, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten haben.
Betroffene Software
Netzwerk
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer mit niedrigen Privilegien kann die Schwachstelle lokal ausnutzen, um Privilegien auf die eines anderen Benutzers zu eskalieren. Die Schwachstelle erfordert die Interaktion eines Benutzers.
Der Hersteller bestätigt die Schwachstelle und veröffentlicht die aktuellen Nextcloud Server Releases 25.0.4 (Nextcloud Hub 3) und 24.0.10 (Nextcloud Hub 2) zu ihrer Behebung.
Schwachstellen:
CVE-2023-25818
Schwachstelle in Nextcloud Server ermöglicht PrivilegieneskalationCVE-2023-25820
Schwachstelle in Nextcloud Server ermöglicht PrivilegieneskalationCVE-2023-26482
Schwachstelle in Nextcloud Server ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-28833
Schwachstelle in Nextcloud Server ermöglicht Denial-of-Service-AngriffCVE-2023-28835
Schwachstelle in Nextcloud Server ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.