2026-1778: Nextcloud Server: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2026-05-05 09:55)

Neues Advisory

Version 2 (2026-05-13 08:05)

Der Hersteller informiert über drei weitere Schwachstellen, die mit diesen Updates behoben werden. Ein Angreifer mit niedrigen Privilegien kann die Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen. Ein erfolgreicher Angriff erfordert bei zwei der Schwachstellen die Interaktion eines Benutzers.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Server-Side-Request-Forgery-Angriff durchzuführen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Nextcloud in den Versionen 32.0.9 und 33.0.3 als Sicherheitsupdates bereit.

Für Fedora 42, 43 und 44 sowie EPEL 10.1, 10.2 und 10.3 steht das Paket 'nextcloud-33.0.3-1' im Status 'testing' bereit, um zwölf Schwachstellen zu beheben.

Schwachstellen:

CVE-2025-62718

Schwachstelle in Axios ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2026-33916

Schwachstelle in Handlebars.js ermöglicht Cross-Site-Scripting-Angriff

CVE-2026-33937

Schwachstelle in Handlebars.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-33938

Schwachstelle in Handlebars.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-33939

Schwachstelle in Handlebars.js ermöglicht Denial-of-Service-Angriff

CVE-2026-33940

Schwachstelle in Handlebars.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-33941

Schwachstelle in Handlebars.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-39865

Schwachstelle in Axios ermöglicht Denial-of-Service-Angriff

CVE-2026-40175

Schwachstelle in Axios ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-40194

Schwachstelle in phpseclib ermöglicht Ausspähen von Informationen

CVE-2026-42035

Schwachstelle in Axios ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2026-45157

Schwachstelle in Nextcloud Server ermöglicht Ausspähen von Informationen

CVE-2026-45282

Schwachstelle in Nextcloud Server ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2026-45285

Schwachstelle in Nextcloud Server ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2026-4800

Schwachstelle in lodash ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.