CVE-2022-31014

MITJÀ: (4.1)

CVSS3: 3.6

Nextcloud Server podria permetre a un atacant remot autenticat executar ordres arbitràries en el sistema, causat per un defecte d’injecció d’ordres SMTP. En enviar una sol·licitud especialment dissenyada usant una sessió SMTP ja autenticada, un atacant podria explotar aquesta vulnerabilitat per a executar ordres SMTP arbitràries com si fos l’usuari de correu electrònic.

Sistemes Afectats

• Nextcloud Nextcloud server 22.2.7
• Nextcloud Nextcloud server 23.0.4
• Nextcloud Nextcloud server 24.0.0

Remediació
Actualitza a l’última versió del servidor Nextcloud (22.2.8, 23.0.5, 24.0.1 o posterior), disponible en el repositori GIT de Nextcloud.

Referències

• https://github.com/nextcloud/security-advisories/security/advisories/GHSA-264h-3v4w-6xh2
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31014