CVE-2022-29160

BAIX: (2.8)

CVSS6: 2.5

Nextcloud Android podria permetre a un atacant local autenticat obtenir informació sensible, causada per un control d’accés indegut després de l’eliminació dels comptes d’usuari. Un atacant podria explotar aquesta vulnerabilitat per obtenir testimonis, imatges i detalls relacionats amb l’usuari i utilitzar aquesta informació per llançar més atacs contra el sistema afectat.

Sistemes Afectats

• Nextcloud Android app 3.6.0
• Nextcloud Android app 2.0.1
• Nextcloud Android app 3.2.4
• Nextcloud Android app 3.6.1
• Nextcloud Android app 3.15.0
• Nextcloud Android app 3.18.0
• Nextcloud Android app 3.17.0

Remediació
Actualitzeu a l’última versió de Nextcloud Android (3.19.0 o posterior), disponible des del repositori GIT d’Android nextcloud.

Referències

• https://github.com/nextcloud/security-advisories/security/advisories/GHSA-xcj9-3jch-qr2r
• https://nextcloud.com/
• https://play.google.com/store/apps/details?id=com.nextcloud.client
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29160