CVE-2022-36074

BAIX: (3)

CVSS3: 2.6

Nextcloud Server podria permetre a un atacant remot autenticat obtenir informació sensible, causat per la fallada en l’eliminació de la capçalera d’Autorització en el descens d’HTTP. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per aconseguir informació sensible, i utilitzar aquesta informació per a llançar més atacs contra el sistema afectat.

Sistemes Afectats

• Nextcloud Nextcloud Server 23.0.6
• Nextcloud Nextcloud Server 24.0.2
• Nextcloud Nextcloud Server 22.2.10

Remediació
Actualitzar a l’última versió de Nextcloud Server (22.2.11, 23.0.7, 24.0.3 o posterior), disponible en el repositori GIT de Nextcloud

Referències

• https://github.com/nextcloud/security-advisories/security/advisories/GHSA-vqgm-f748-g76v
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-36074