CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45264

MediumCVSS 4.3
Published: Updated: Translated: NVD NIST

Summary

W Nextcloud, od wersji 17.0.0 do przed 17.0.15, 18.0.0 do przed 18.1.12, 19.0.0 do przed 19.1.16, 20.0.0 do przed 20.1.11 oraz 21.0.0 do przed 21.0.4, użytkownik z uprawnieniami READ i CREATE, ale bez uprawnień UPDATE dla folderu zespołowego, może zmieniać nazwy plików w tym folderze. Problem został naprawiony w wersjach 17.0.15, 18.1.12, 19.1.16, 20.1.11 oraz 21.0.4.

Risk Assessment

Organizacja może być narażona na nieautoryzowane zmiany nazw plików w folderach zespołowych, co może prowadzić do zamieszania i utraty danych. Taka sytuacja może wpłynąć na integralność i bezpieczeństwo współpracy w zespole.

Recommendation

Zaleca się aktualizację Nextcloud do wersji 17.0.15, 18.1.12, 19.1.16, 20.1.11 lub 21.0.4, aby usunąć tę podatność. Należy również przeanalizować uprawnienia użytkowników w folderach zespołowych, aby zminimalizować ryzyko nieautoryzowanych działań.

Original NVD description (English source)

Nextcloud is an open source content collaboration platform. From versions 17.0.0 to before 17.0.15, 18.0.0 to before 18.1.12, 19.0.0 to before 19.1.16, 20.0.0 to before 20.1.11, and 21.0.0 to before 21.0.4, a user with READ and CREATE permission, but no UPDATE permission for a team folder can rename files in the team folder. This issue has been patched in versions 17.0.15, 18.1.12, 19.1.16, 20.1.11, and 21.0.4.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS