CVE-2023-39954
NiskieCVSS 3.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Moduł user_oidc, który zapewnia backend OIDC connect dla Nextcloud, ma lukę, która pozwala atakującemu na podszywanie się pod serwer Nextcloud, jeśli uzyskał przynajmniej dostęp do odczytu z migawki bazy danych. Problem występuje w wersjach od 1.0.0 do 1.3.2, a wersja 1.3.3 zawiera poprawkę.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu do powiązanych serwerów, co może prowadzić do wycieku danych lub naruszenia integralności systemu.
Rekomendacja
Zaleca się aktualizację do wersji 1.3.3 lub nowszej, aby usunąć tę lukę. Brak znanych obejść dla tej podatności.
Oryginalny opis (angielski, źródło NVD)
user_oidc provides the OIDC connect user backend for Nextcloud, an open-source cloud platform. Starting in version 1.0.0 and prior to version 1.3.3, an attacker that obtained at least read access to a snapshot of the database can impersonate the Nextcloud server towards linked servers. user_oidc 1.3.3 contains a patch. No known workarounds are available.

