CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45281

HighCVSS 8.1
Published: Updated: Translated: NVD NIST

Summary

W Nextcloud Server w wersjach od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, z powodu niewłaściwych kontroli autoryzacji w backendzie kalendarza, uwierzytelniony użytkownik mógł wysłać żądanie, aby uzyskać pełny dostęp do kalendarza innego użytkownika. Atakujący mógłby przeglądać i modyfikować kalendarz.

Risk Assessment

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do kalendarzy użytkowników, co może prowadzić do ujawnienia wrażliwych informacji oraz ich nieautoryzowanej modyfikacji.

Recommendation

Zaleca się aktualizację Nextcloud Server do wersji 33.0.3 lub 32.0.9, a także Nextcloud Enterprise Server do odpowiednich wersji, aby usunąć tę podatność.

Original NVD description (English source)

Nextcloud is an open source content collaboration platform. In Nextcloud Server from versions 32.0.0 to before 32.0.9, and 33.0.0 to before 33.0.3, with the knowledge of other users’ principal URL an attacker could possibly send a request to gain full access to their calendar. Therefore, the attacker must be an authenticated user. This is because of improper authorization controls in the backend of the calendar. If the attacker had access to the calendar, they would be able to view and modify it. It is recommended that the Nextcloud Server is upgraded to 33.0.3 or 32.0.9. It is recommended that the Nextcloud Enterprise Server is upgraded to 33.0.3, 32.0.9, 31.0.14.5, 30.0.17.9, 29.0.16.16, 28.0.14.17, 27.1.11.26, 26.0.13.26, 25.0.13.29, 24.0.12.34, 23.0.12.35, 22.2.10.39, or 21.0.9.23

Vulnerability data from NVD (NIST) · CISA KEV · EPSS