CVE-2022-31120

BAIX: (2.1)

CVSS3: 1.9

Nextcloud Server podria permetre a un atacant remot autenticat eludir les restriccions de seguretat, a causa d’un problema de no registre de la informació d’acceptació/rebutjo del recurs compartit Federat en l’arxivament de registre d’auditoria. Enviant una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per a obtenir accés al recurs compartit Federat sense ser advertit.

Sistemes Afectats

• Nextcloud Nextcloud Server 22.2.6
• Nextcloud Nextcloud Server 23.0.3

Remediació
Actualitza a l’última versió de Nextcloud Server (22.2.7, 23.0.4, 24.0.0 o posterior), disponible en el repositori GIT de Nextcloud.

Referències

• https://github.com/nextcloud/security-advisories/security/advisories/GHSA-9qvg-7fwg-722x
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31120