2024-1576: Nextcloud Desktop Client, Nextcloud Server: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2024-06-17 16:55)

Neues Advisory

Betroffene Software

Datensicherung
Netzwerk
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren und Sicherheitsvorkehrungen zu umgehen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller hat nacheinander die Sicherheitsupdates 26.0.13, 27.1.10, 28.0.6 und 29.0.2 für Nextcloud Server sowie 3.12.0 für Nextcloud Desktop veröffentlicht. Die hier referenzierten Schwachstellen wurden teilweise bereits mit früheren Nextcloud Server Releases behoben, allerdings wurden Informationen zu den Schwachstellen erst kürzlich veröffentlicht.

Schwachstellen:

CVE-2024-37313

Schwachstelle in Nextcloud Server ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-37315

Schwachstelle in Nextcloud Server ermöglicht Manipulation von Dateien

CVE-2024-37882

Schwachstelle in Nextcloud Server ermöglicht Privilegieneskalation

CVE-2024-37884

Schwachstelle in Nextcloud Server ermöglicht Manipulation von Dateien

CVE-2024-37885

Schwachstelle in Nextcloud Desktop Client für macOS ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2024-37887

Schwachstelle in Nextcloud Server ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.