CVE-2022-31118

MITJÀ: (6.5)

CVSS3: 5.7

El servidor Nextcloud podria permetre a un atacant remot obtenir informació sensible, causat per una inadequada protecció de força bruta en la funció de compartir la federació del núvol. Utilitzant tècniques d’atac de força bruta, un atacant podria explotar aquesta vulnerabilitat per aconseguir els tokens d’accés per als recursos compartits federats, i utilitzar aquesta informació per a llançar més atacs contra el sistema afectat.

Sistemes Afectats

• Nextcloud Nextcloud server 22.2.8
• Nextcloud Nextcloud server 23.0.5
• Nextcloud Nextcloud server 24.0.1

Remediació
Actualitza a l’última versió de Nextcloud Server (22.2.9, 23.0.6, 24.0.2 o posterior), disponible en el repositori GIT de Nextcloud.

Referències

• https://github.com/nextcloud/security-advisories/security/advisories/GHSA-2vwh-5v93-3vcq
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31118