Katalog CVE

CVE-2026-45283

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Nextcloud Server w wersjach od 32.0.0 do przed 32.0.2 oraz od 33.0.0 do przed 33.0.1, aplikacja files_lock nieprawidłowo weryfikowała właścicieli plików podczas przetwarzania żądań blokowania i odblokowywania DAV. Użytkownik z autoryzacją mógł blokować lub odblokowywać pliki należące do innych użytkowników, celując w ich absolutne ścieżki WebDAV.

Ocena ryzyka

Atakujący mógł uzyskać dostęp do tokenów blokad, co pozwalało na usunięcie blokad opartych na tokenach nałożonych przez aplikacje klienckie innych użytkowników. To stwarza ryzyko nieautoryzowanego dostępu do danych i manipulacji plikami.

Rekomendacja

Zaleca się aktualizację Nextcloud Server do wersji 32.0.2 lub 33.0.1, a Nextcloud Enterprise Server do wersji 31.0.14.4, 32.0.2 lub 33.0.1.

Oryginalny opis (angielski, źródło NVD)

Nextcloud is an open source content collaboration platform. In Nextcloud Server from versions 32.0.0 to before 32.0.2, and 33.0.0 to before 33.0.1, the files_lock app did not properly validate the ownership of files when processing DAV lock and unlock requests. An authenticated user could lock or unlock files belonging to other users by targeting their absolute WebDAV paths. Additionally, lock tokens were disclosed to unauthorized callers in error responses, allowing attackers to remove token-based locks placed by other users' client applications. It is recommended that the Nextcloud Server is upgraded to 32.0.2 or 33.0.1. It is recommended that the Nextcloud Enterprise Server is upgraded to 31.0.14.4 or 32.0.2 or 33.0.1

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS