Katalog CVE

CVE-2023-39954

NiskieCVSS 3.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

Moduł user_oidc, który zapewnia backend OIDC connect dla Nextcloud, ma lukę, która pozwala atakującemu na podszywanie się pod serwer Nextcloud, jeśli uzyskał przynajmniej dostęp do odczytu z migawki bazy danych. Problem występuje w wersjach od 1.0.0 do 1.3.2, a wersja 1.3.3 zawiera poprawkę.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu do powiązanych serwerów, co może prowadzić do wycieku danych lub naruszenia integralności systemu.

Rekomendacja

Zaleca się aktualizację do wersji 1.3.3 lub nowszej, aby usunąć tę lukę. Brak znanych obejść dla tej podatności.

Oryginalny opis (angielski, źródło NVD)

user_oidc provides the OIDC connect user backend for Nextcloud, an open-source cloud platform. Starting in version 1.0.0 and prior to version 1.3.3, an attacker that obtained at least read access to a snapshot of the database can impersonate the Nextcloud server towards linked servers. user_oidc 1.3.3 contains a patch. No known workarounds are available.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS