2025-3408: Nextcloud Desktop Client, Nextcloud Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Benutzerrechten
Historie:
- Version 1 (2025-12-08 12:48)
- Neues Advisory
- Version 2 (2025-12-15 09:10)
- Für Fedora 41, 42 und 43 sowie EPEL 10.1 und 10.2 steht das Paket 'nextcloud-32.0.3-1' im Status 'testing' bereit, womit eine Aktualisierung auf das Nextcloud 32.0.3 Release erfolgt.
Betroffene Software
Datensicherung
Netzwerk
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Der Hersteller hat die Sicherheitsupdates 30.0.17, 31.0.12 und 32.0.3 für Nextcloud Server sowie 3.16.5 für Nextcloud Desktop angekündigt. Die hier referenzierten Schwachstellen wurden teilweise bereits mit früheren Nextcloud Server Releases behoben, allerdings wurden Informationen zu den Schwachstellen erst kürzlich veröffentlicht. Die Versionen Nextcloud Server 30.0.17 und Nextcloud Desktop 3.16.5 stehen bereits zur Verfügung.
Schwachstellen:
CVE-2025-59788
Schwachstelle in Nextcloud Server ermöglicht Ausführen beliebigen Programmcodes mit BenutzerrechtenCVE-2025-66510
Schwachstelle in Nextcloud Server ermöglicht Ausspähen von InformationenCVE-2025-66512
Schwachstelle in Nextcloud Server ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2025-66547
Schwachstelle in Nextcloud Server ermöglicht Manipulation von DateienCVE-2025-66549
Schwachstelle in Nextcloud Desktop Client ermöglicht Ausspähen von InformationenCVE-2025-66552
Schwachstelle in Nextcloud Server ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.